IPSec kasutamine Debianiga: erinevus redaktsioonide vahel
Allikas: Kuutõrvaja
Mine navigeerimisribaleMine otsikasti
| 8. rida: | 8. rida: | ||
Praktiliseks kasutuseks kohmakas, kuid samal ajal IPSec'i tööpõhimõtte illustreerimiseks sobilik on omada ühes arvutis sellist setkey skripti | Praktiliseks kasutuseks kohmakas, kuid samal ajal IPSec'i tööpõhimõtte illustreerimiseks sobilik on omada ühes arvutis sellist setkey skripti | ||
192.168.10. | 192.168.10.144# cat /root/ipsec-static.sh | ||
#!/usr/sbin/setkey -f | #!/usr/sbin/setkey -f | ||
| 20. rida: | 20. rida: | ||
add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; | add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; | ||
spdadd 192.168.10. | spdadd 192.168.10.144 192.168.10.145 any -P out ipsec | ||
esp/transport//require | esp/transport//require | ||
ah/transport//require; | ah/transport//require; | ||
spdadd 192.168.10. | spdadd 192.168.10.145 192.168.10.144 any -P in ipsec | ||
esp/transport//require | esp/transport//require | ||
ah/transport//require; | ah/transport//require; | ||
| 30. rida: | 30. rida: | ||
ning teises arvutis | ning teises arvutis | ||
192.168.10. | 192.168.10.145# cat /root/ipsec-static.sh | ||
#!/usr/sbin/setkey -f | #!/usr/sbin/setkey -f | ||
| 42. rida: | 42. rida: | ||
add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; | add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff; | ||
spdadd 192.168.10. | spdadd 192.168.10.145 192.168.10.144 any -P out ipsec | ||
esp/transport//require | esp/transport//require | ||
ah/transport//require; | ah/transport//require; | ||
spdadd 192.168.10. | spdadd 192.168.10.144 192.168.10.145 any -P in ipsec | ||
esp/transport//require | esp/transport//require | ||
ah/transport//require; | ah/transport//require; | ||
Redaktsioon: 19. juuli 2008, kell 18:01
Sissejuhatus
...
Staatiline kasutus
Praktiliseks kasutuseks kohmakas, kuid samal ajal IPSec'i tööpõhimõtte illustreerimiseks sobilik on omada ühes arvutis sellist setkey skripti
192.168.10.144# cat /root/ipsec-static.sh
#!/usr/sbin/setkey -f
flush;
spdflush;
add 192.168.10.144 192.168.10.145 ah 123456 -A hmac-sha1 "AH SA configuration!";
add 192.168.10.145 192.168.10.144 ah 123457 -A hmac-sha1 "AH SA configuration!";
add 192.168.10.144 192.168.10.145 esp 0x10001 -E des-cbc 0x3ffe05014819ffff;
add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff;
spdadd 192.168.10.144 192.168.10.145 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.10.145 192.168.10.144 any -P in ipsec
esp/transport//require
ah/transport//require;
ning teises arvutis
192.168.10.145# cat /root/ipsec-static.sh
#!/usr/sbin/setkey -f
flush;
spdflush;
add 192.168.10.144 192.168.10.145 ah 123456 -A hmac-sha1 "AH SA configuration!";
add 192.168.10.145 192.168.10.144 ah 123457 -A hmac-sha1 "AH SA configuration!";
add 192.168.10.144 192.168.10.145 esp 0x10001 -E des-cbc 0x3ffe05014819ffff;
add 192.168.10.145 192.168.10.144 esp 0x10002 -E des-cbc 0x3ffe05014819ffff;
spdadd 192.168.10.145 192.168.10.144 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.10.144 192.168.10.145 any -P in ipsec
esp/transport//require
ah/transport//require;
IPSec sisselülitamiseks tuleb öelda mõlemas arvutis üks kord
# chmod /root/ipsec-static.sh
ning edaspidi
# /root/ipsec-static.sh
Kontrollimaks, et andmevahetus on tõepoolest turvaline maksab ühest arvutist teist nt pingida samal ajal kuulates liiklust tcpdump abil
# tcpdump -nettti eth0 host 192.168.10.145 000000 00:16:3e:6a:0d:4d > 00:16:3e:6a:0d:4e, ethertype IPv4 (0x0800), length 146: \ 192.168.10.144 > 192.168.10.145: AH(spi=0x0001e240,seq=0x1e): ESP(spi=0x00010001,seq=0x1e), length 88 000452 00:16:3e:6a:0d:4e > 00:16:3e:6a:0d:4d, ethertype IPv4 (0x0800), length 146: \ 192.168.10.145 > 192.168.10.144: AH(spi=0x0001e241,seq=0x1e): ESP(spi=0x00010002,seq=0x1e), length 88
Laaditud SAD ja SDP vaatamiseks tuleb öelda vastavalt
# setkey -D # setkey -DP
