Вопросы Теги

безопасность IPsec с ESP и ах протоколом

У меня есть Ubuntu 14.04 LTS, и я установил ipsec-tools.

Я могу добавить правило в конфигурационном файле ipsec-tools.conf для шифрования данных с протоколом ESP затем шифруют его (зашифрованные данные) снова с ах протоколом? (Я имею в виду двойное шифрование),

Если да, как я могу сделать это?

Я хочу отправить данные, с которыми это защищено ipsec между двумя устройствами и я хочу зашифровать данные дважды.

0
задан 22 April 2017 в 02:14

1 ответ

Извините, но IPsec не работайте над тем путем.

Нет никакого двойного шифрования или...

Очень, очень, очень короткое и простое объяснение, как IPsec работа - что-то как

  • IPsec сначала с IKE Police общайтесь с дальним концом
  • Согласуйте о Authorization algorithm, Encryption algorithm, Perfect Forward Secrecy и IKE version
  • После этого отправьте key иначе password

Если все хорошо, движение к фазе 2

  • IPsec полиция запустится
  • Neogoitate о Encryption algorithm, Perfect Forward Secrecy, Transform Protocol

Если это подходит затем соответствие routes иначе access list иначе interesting traffic

Если все в порядке, туннель повышаются.

Примеры конфигурации от Wiki

Править /etc/ipsec-tools.conf файл. Этот файл должен иметь общую форму:

# Configuration for 192.168.1.100 
# Flush the SAD and SPD
flush;
spdflush;

# Attention: Use this keys only for testing purposes!
# Generate your own keys!

# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
        0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
        0x96358c90783bbfa3d7b196ceabe0536b;

# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
        0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
        0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;

# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
           esp/transport//require
           ah/transport//require;

Важно понять это, таким образом позвольте мне сломать его:

# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
        0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
        0x96358c90783bbfa3d7b196ceabe0536b;

Этот раздел перечисляет 128 bit ключи для 192.168.2.100 и 192.168.1.100 соединение. Каждая пара IP имеет 2 ключа - один для каждого направления (в и). Каждая пара машин должна знать эту информацию. Так, это означает, что для каждой пары IP необходимо генерировать новый ключ (следовательно, почему это работает на небольшие сети, но что-либо главное, вероятно, хочет, чтобы демон обработал это. Возможно, если я буду чувствовать себя амбициозным, то я настрою мой, чтобы использовать его и обновить это с той информацией).

Кроме того, отметьте число прямо после ah для каждого из этих ключей. Это число должно быть уникальным для каждого add оператор. Эти ключи сгенерированы следующим образом:

dd if=/dev/random count=16 bs=1| xxd -ps

Не забывайте добавлять 0x перед ним.

Точно так же этот раздел:

# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
        0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
        0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;

Это работает точно так же, как AH keys, за исключением того, что они длиннее. Снова, число после esp должно быть уникальным. Эти ключи сгенерированы следующим образом:

dd if=/dev/random count=24 bs=1| xxd -ps

Снова, не забывайте добавлять 0x перед ним.

Так, эти лучшие два раздела должны перечислить ключи для всех IP-адресов, о которых заботится машина. Эти разделы не изменяются при перемещении файла среди машин по обе стороны от соединения. Это приносит нам к следующему разделу:

# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
           esp/transport//require
           ah/transport//require;

Это настраивает политики для в и связь. Так, вышеупомянутая версия будет работать на 192.168.1.100, потому что вся исходящая коммуникация к 192.168.2.100 и вся входящая коммуникация от 192.168.2.100 будет зашифрован. Использовать это на другой машине (192.168.2.100), зеркально отразите в и директивы, следующим образом:

# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P in ipsec
           esp/transport//require
           ah/transport//require;

spdadd 192.168.2.100 192.168.1.100 any -P out ipsec
           esp/transport//require
           ah/transport//require;

Сделайте conf файл не читаемым к миру:

sudo chmod 750 ipsec-tools.conf

Хорошо, сделайте обе стороны соединения имеют ipsec-tools.conf? Все установили? Хороший, теперь это становится легким.

Это будет запущено при начальной загрузке по умолчанию в системах, таким образом, Вы не должны будете волноваться об этом.

Кроме того, запуск это не причинило бы боль, любой (удостоверьтесь, что сделали это с обеих сторон соединения прежде, чем попытаться сделать, чтобы они говорили друг с другом; Вы могли также перезагрузить):

sudo /etc/init.d/setkey start
0
ответ дан 3 November 2019 в 09:34

Другие вопросы по тегам:

Похожие вопросы: