Erinevus lehekülje "IPSec kasutamine Debianiga" redaktsioonide vahel
Allikas: Kuutõrvaja
(→Kasulikud lisamaterjalid) |
(→Staatiline kasutus) |
||
93. rida: | 93. rida: | ||
192.168.10.145 > 192.168.10.144: AH(spi=0x0001e241,seq=0x1e): ESP(spi=0x00010002,seq=0x1e), length 88 | 192.168.10.145 > 192.168.10.144: AH(spi=0x0001e241,seq=0x1e): ESP(spi=0x00010002,seq=0x1e), length 88 | ||
− | Laaditud SAD | + | Laaditud SAD (Security Associations Database) vaatamiseks tuleb öelda |
# setkey -D | # setkey -D | ||
+ | |||
+ | ja SPD (Security Policy Database) vaatamiseks tuleb öelda | ||
+ | |||
# setkey -DP | # setkey -DP | ||
+ | |||
+ | Nende andmebaaside sisu kustutamiseks tuleb öelda vastavalt | ||
+ | |||
+ | # setkey -F | ||
+ | |||
+ | ja | ||
+ | |||
+ | # setkey -FP | ||
===Kasulikud lisamaterjalid=== | ===Kasulikud lisamaterjalid=== |
Redaktsioon: 20. juuli 2008, kell 15:39
Sissejuhatus
...
Staatiline kasutus
Praktiliseks kasutuseks kohmakas, kuid samal ajal IPSec'i tööpõhimõtte illustreerimiseks sobilik on omada ühes arvutis sellist setkey skripti
192.168.10.144# cat /root/ipsec-static.sh #!/usr/sbin/setkey -f flush; spdflush; add 192.168.10.144 192.168.10.145 ah 123456 -A hmac-sha1 "AH SA configuration!"; add 192.168.10.145 192.168.10.144 ah 123457 -A hmac-sha1 "AH SA configuration!"; add 192.168.10.144 192.168.10.145 esp 0x10001 -E des-cbc 0x3ffe05014819ffff; add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; spdadd 192.168.10.144 192.168.10.145 any -P out ipsec esp/transport//require ah/transport//require; spdadd 192.168.10.145 192.168.10.144 any -P in ipsec esp/transport//require ah/transport//require;
ning teises arvutis
192.168.10.145# cat /root/ipsec-static.sh #!/usr/sbin/setkey -f flush; spdflush; add 192.168.10.144 192.168.10.145 ah 123456 -A hmac-sha1 "AH SA configuration!"; add 192.168.10.145 192.168.10.144 ah 123457 -A hmac-sha1 "AH SA configuration!"; add 192.168.10.144 192.168.10.145 esp 0x10001 -E des-cbc 0x3ffe05014819ffff; add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; spdadd 192.168.10.145 192.168.10.144 any -P out ipsec esp/transport//require ah/transport//require; spdadd 192.168.10.144 192.168.10.145 any -P in ipsec esp/transport//require ah/transport//require;
IPSec sisselülitamiseks tuleb laadida sellised tuumamoodulid
# cat /root/ipsec.modules xfrm6_tunnel tunnel6 esp6 ah6 ipcomp esp4 ah4 xfrm_user cast5 khazad arc4 tgr192 tea crc32c libcrc32c michael_mic sha512 anubis cast6 md4 wp512
# for i in `cat /root/ipsec.modules`; do modprobe $i; done
ja öelda mõlemas arvutis üks kord
# chmod /root/ipsec-static.sh
ning edaspidi
# /root/ipsec-static.sh
Kontrollimaks, et andmevahetus on tõepoolest turvaline maksab ühest arvutist teist nt pingida samal ajal kuulates liiklust tcpdump abil
# tcpdump -nettti eth0 host 192.168.10.145 000000 00:16:3e:6a:0d:4d > 00:16:3e:6a:0d:4e, ethertype IPv4 (0x0800), length 146: \ 192.168.10.144 > 192.168.10.145: AH(spi=0x0001e240,seq=0x1e): ESP(spi=0x00010001,seq=0x1e), length 88 000452 00:16:3e:6a:0d:4e > 00:16:3e:6a:0d:4d, ethertype IPv4 (0x0800), length 146: \ 192.168.10.145 > 192.168.10.144: AH(spi=0x0001e241,seq=0x1e): ESP(spi=0x00010002,seq=0x1e), length 88
Laaditud SAD (Security Associations Database) vaatamiseks tuleb öelda
# setkey -D
ja SPD (Security Policy Database) vaatamiseks tuleb öelda
# setkey -DP
Nende andmebaaside sisu kustutamiseks tuleb öelda vastavalt
# setkey -F
ja
# setkey -FP