У меня есть Ubuntu 14.04 LTS, и я установил ipsec-tools
.
Я могу добавить правило в конфигурационном файле ipsec-tools.conf
для шифрования данных с протоколом ESP затем шифруют его (зашифрованные данные) снова с ах протоколом? (Я имею в виду двойное шифрование),
Если да, как я могу сделать это?
Я хочу отправить данные, с которыми это защищено ipsec
между двумя устройствами и я хочу зашифровать данные дважды.
Извините, но IPsec
не работайте над тем путем.
Нет никакого двойного шифрования или...
Очень, очень, очень короткое и простое объяснение, как IPsec
работа - что-то как
IPsec
сначала с IKE Police
общайтесь с дальним концомAuthorization algorithm
, Encryption algorithm
, Perfect Forward Secrecy
и IKE version
key
иначе password
Если все хорошо, движение к фазе 2
IPsec
полиция запуститсяEncryption algorithm
, Perfect Forward Secrecy
, Transform Protocol
Если это подходит затем соответствие routes
иначе access list
иначе interesting traffic
Если все в порядке, туннель повышаются.
Примеры конфигурации от Wiki
Править /etc/ipsec-tools.conf
файл. Этот файл должен иметь общую форму:
# Configuration for 192.168.1.100
# Flush the SAD and SPD
flush;
spdflush;
# Attention: Use this keys only for testing purposes!
# Generate your own keys!
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Важно понять это, таким образом позвольте мне сломать его:
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
Этот раздел перечисляет 128 bit
ключи для 192.168.2.100
и 192.168.1.100
соединение. Каждая пара IP имеет 2 ключа - один для каждого направления (в и). Каждая пара машин должна знать эту информацию. Так, это означает, что для каждой пары IP необходимо генерировать новый ключ (следовательно, почему это работает на небольшие сети, но что-либо главное, вероятно, хочет, чтобы демон обработал это. Возможно, если я буду чувствовать себя амбициозным, то я настрою мой, чтобы использовать его и обновить это с той информацией).
Кроме того, отметьте число прямо после ah
для каждого из этих ключей. Это число должно быть уникальным для каждого add
оператор. Эти ключи сгенерированы следующим образом:
dd if=/dev/random count=16 bs=1| xxd -ps
Не забывайте добавлять 0x
перед ним.
Точно так же этот раздел:
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
Это работает точно так же, как AH keys
, за исключением того, что они длиннее. Снова, число после esp
должно быть уникальным. Эти ключи сгенерированы следующим образом:
dd if=/dev/random count=24 bs=1| xxd -ps
Снова, не забывайте добавлять 0x
перед ним.
Так, эти лучшие два раздела должны перечислить ключи для всех IP-адресов, о которых заботится машина. Эти разделы не изменяются при перемещении файла среди машин по обе стороны от соединения. Это приносит нам к следующему разделу:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Это настраивает политики для в и связь. Так, вышеупомянутая версия будет работать на 192.168.1.100
, потому что вся исходящая коммуникация к 192.168.2.100
и вся входящая коммуникация от 192.168.2.100
будет зашифрован. Использовать это на другой машине (192.168.2.100
), зеркально отразите в и директивы, следующим образом:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P in ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P out ipsec
esp/transport//require
ah/transport//require;
Сделайте conf файл не читаемым к миру:
sudo chmod 750 ipsec-tools.conf
Хорошо, сделайте обе стороны соединения имеют ipsec-tools.conf
? Все установили? Хороший, теперь это становится легким.
Это будет запущено при начальной загрузке по умолчанию в системах, таким образом, Вы не должны будете волноваться об этом.
Кроме того, запуск это не причинило бы боль, любой (удостоверьтесь, что сделали это с обеих сторон соединения прежде, чем попытаться сделать, чтобы они говорили друг с другом; Вы могли также перезагрузить):
sudo /etc/init.d/setkey start