Инструменты пользователя
ipsec
Различия
Здесь показаны различия между двумя версиями данной страницы.
| — |
ipsec [2018/07/12 10:19] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | ====== IPSec Tools Racoon ====== | ||
| + | |||
| + | ~~Title: IPSec — протокол защиты сетевого трафика на IP-уровне ~~ | ||
| + | {{htmlmetatags> | ||
| + | metatag-description=(Диагностика IPSec. IPSec — протокол защиты сетевого трафика на IP-уровне. Настройка утилит Racoon, setkey и IPSec OpenSWAN.) | ||
| + | }} | ||
| + | |||
| + | |||
| + | Homepage: [[http://ipsec-tools.sourceforge.net|IPsec-Tools]] | ||
| + | |||
| + | |||
| + | **IPsec-Tools** это порт c [[FreeBSD]] использует утилиты setkey, racoon. | ||
| + | |||
| + | **IPSec** (сокращение от спецификации IP Security) - надстройка к протоколу IP, обеспечивающая безопасность протоколов более высокого уровня. IPSec был разработан для IPv6 протокола, а позже портирован на IPv4 протокол. IPSec шифрует IP-пакеты, ему безразличны интерфейсы (например gif) на шифрование которых он настроен вообще. IPSec обеспечивает IP-сжатие(IP Compression, IPcomp) пакетов перед их шифрованием. Протоколы IPsec работают на **сетевом уровне** (уровень 3 модели [[OSI]]). Другие защищённые протоколы, такие как [[SSL]] и [[TLS]], работают на транспортном уровне (уровни [[OSI]] 4 — 7). | ||
| + | |||
| + | <note important>IPSec для соединения может использовать предопределённые ключи(pre-shared key) или [[SSL]]- сертификаты.</note> | ||
| + | |||
| + | * **pre-shared key**: Два даемона racoon подключаются друг к другу, подтверждают, что они именно те, за кого себя выдают (используя секретный ключ, заданный вами, по умолчанию в файле /etc/racoon/psk.txt). Затем даемоны генерируют новый секретный ключ и используют его для шифрования трафика через VPN. Они периодически изменяют этот ключ, так что даже если атакующий сломает один из ключей (что теоретически почти невозможно) это не даст ему слишком много -- он сломал ключ, который два даемона уже сменили на другой. Предварительный ключ(pre-shared key) не используется для шифрования трафика через VPN соединение это просто маркер, позволяющий управляющим ключами даемонам доверять друг другу. Права на файл psk.txt должны быть 0600 (т.е. запись и чтение только для root). | ||
| + | |||
| + | * **IPsec состоит из двух протоколов:** | ||
| + | - Encapsulated Security Payload (ESP), защищающей данные IP пакета от вмешательства третьей стороны путем шифрования содержимого с помощью симметричных криптографических алгоритмов (таких как Blowfish,3DES, AES). | ||
| + | - Authentication Header (AH), защищающий заголовок IP пакета от вмешательства третьей стороны и подделки путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования. К пакету добавляется дополнительный заголовок с хэшем, позволяющий аутентификацию информации пакета. | ||
| + | |||
| + | ESP и AH могут быть использованы вместе или по отдельности, в зависимости от обстоятельств. <note>esp и ah - пакеты ipsec, формируются ядром после того как хосты, при помощи racoon, договорятся о ключе по протоколу isakmp (500/udp).</note> | ||
| + | {{ ::ipsec-ah-esp-modes.jpg?nolink |}} | ||
| + | |||
| + | ===== Режимы работы IPsec(транспортный, туннельный) ===== | ||
| + | |||
| + | Существует два режима работы IPsec: транспортный режим и туннельный режим(когда в транспортном режиме работают только маршрутизаторы). | ||
| + | |||
| + | IPsec может быть использован или для непосредственного шифрования трафика между двумя хостами (транспортный режим); или для построения "виртуальных туннелей" между двумя подсетями, которые могут быть использованы для защиты соединений между двумя корпоративными сетями (туннельный режим). Туннельный режим обычно называют виртуальной частной сетью (Virtual Private Network, [[VPN]]). | ||
| + | |||
| + | В **транспортном режиме** шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, [[GRE]] и др.). | ||
| + | |||
| + | ^Транспортный режим^^ | ||
| + | |IP заголовок |ESP/AH заголовок |L4 payload| | ||
| + | |||
| + | В **туннельном режиме** IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети. В туннельном режиме инкапсулируется весь исходный IP пакет, и добавляется новый IP заголовок. | ||
| + | |||
| + | ^Туннельный режим^^^^ | ||
| + | |IP заголовок |ESP/AH заголовок |исходный IP заголовок |L4 payload| | ||
| + | |||
| + | <note>Если используется IPsec совместно с [[GRE]], который инкапсулирует исходный пакет и добавляет новый IP заголовок, логично использовать **транспортный** режим.</note> | ||
| + | |||
| + | <note tip>Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.</note> | ||
| + | |||
| + | **Security Associations (SA)**. Для возможности проводить инкапсуляцию/декапсуляцию стороны участвующие в процессе обмена должны иметь возможность хранить секретные ключи, алгоритмы и IP адреса. Вся эта информация хранится в Ассоциациях Безопасности (SA), SA в свою очередь хранятся в Базе данных Ассоциаций Безопасности (SAD). [[http://xgu.ru/wiki/IPsec_%D0%B2_Linux#.D0.9A.D0.BE.D0.BD.D1.84.D0.B8.D0.B3.D1.83.D1.80.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_Security_Association|Конфигурирование Security Association]], позволяет задать например **mode transport | tunnel | ro | in_trigger | beet** - режим безопасной ассоциации. Соответственно, может принимать одно из значений, означающих транспортный, тоннельный, beet (Bound End-to-End Tunnel), оптимизации маршрута (route optimization) или in_trigger режимы. (последние два используются в контексте mobile ipv6). | ||
| + | |||
| + | **Security Policy (SP)** - политика безопасности, хранится в SPD (База данных политик безопасности). SA специфицирует, как IPsec предполагает защищать трафик, SPD в свою очередь хранит дополнительную информацию, необходимую для определения какой именно трафик защищать и когда. SPD может указать для пакета данных одно из трёх действий: отбросить пакет, не обрабатывать пакет с помощью IPSec, обработать пакет с помощью IPSec. В последнем случае SPD также указывает, какой SA необходимо использовать (если, конечно, подходящий SA уже был создан) или указывает, с какими параметрами должен быть создан новый SA. SPD является очень гибким механизмом управления, который допускает очень хорошее управление обработкой каждого пакета. Пакеты классифицируются по большому числу полей, и SPD может проверять некоторые или все поля для того, чтобы определить соответствующее действие. Это может привести к тому, что весь трафик между двумя машинами будет передаваться при помощи одного SA, либо отдельные SA будут использоваться для каждого приложения, или даже для каждого TCP соединения. | ||
| + | |||
| + | ===== IPSec (сеть-сеть) между серверами FreeBSD ===== | ||
| + | * **Шаг 1**: Создание и тестирование "виртуального" сетевого подключения. | ||
| + | * Настройте оба ядра с ''device gif''. В версии FreeBSD поддержка gif включена в ядро. | ||
| + | * Отредактируйте /etc/rc.conf на маршрутизаторах и добавьте следующие строки (подставляя IP адреса где необходимо). A.B.C.D - реальный IP первого маршрутизатора, W.X.Y.Z - реальный IP второго маршрутизатора.<code> | ||
| + | # IPsec №1 gateway | ||
| + | > ee /etc/rc.conf | ||
| + | ... | ||
| + | # IPsec to S through ISP_V | ||
| + | gif_interfaces="gif0" | ||
| + | # gifconfig_gif0="local-ip(A.B.C.D) remote-ip (W.X.Y.Z)" | ||
| + | gifconfig_gif0="194.x.x.x 91.x.x.x" | ||
| + | ifconfig_gif0="inet 10.26.95.254 192.168.1.254 netmask 255.255.255.255" | ||
| + | static_routes="vpn vpn1" | ||
| + | route_vpn="-net 192.168.1.0/24 192.168.1.254" | ||
| + | route_vpn1="-net 192.168.35.0/24 192.168.1.254" | ||
| + | |||
| + | # IPsec №2 gateway | ||
| + | > ee /etc/rc.conf | ||
| + | ... | ||
| + | # IPsec na G through ISPGate | ||
| + | gif_interfaces="gif0" | ||
| + | # gifconfig_gif0="W.X.Y.Z A.B.C.D" | ||
| + | gifconfig_gif0="91.x.x.x 194.x.x.x" | ||
| + | ifconfig_gif0="inet 192.168.1.254 10.26.95.254 netmask 255.255.255.255" | ||
| + | static_routes="vpn" | ||
| + | route_vpn="-net 10.26.95.0/24 10.26.95.254" | ||
| + | </code> | ||
| + | * Отредактируйте скрипт брандмауэра на обеих маршрутизаторах и добавьте<code> | ||
| + | # IPFW | ||
| + | ipfw add 1 allow ip from any to any via gif0 | ||
| + | # PF | ||
| + | set skip on gif0 | ||
| + | </code> | ||
| + | Теперь ping должны ходить между сетями. | ||
| + | * **Защита соединения с помощью IPsec** | ||
| + | * **Шаг 2**: Защита соединения с помощью IPsec | ||
| + | * Настройте оба ядра:<code>> sysctl -a | grep ipsec</code> если команда ничего не вывела, значит нужно пересобрать ядра на обоих маршрутизаторах с параметрами<code> | ||
| + | # IPSEC for FreeBSD 7.0 and above | ||
| + | options IPSEC | ||
| + | options IPSEC_FILTERTUNNEL | ||
| + | device crypto | ||
| + | |||
| + | # IPSEC for FreeBSD 6.3 | ||
| + | options IPSEC # IP security | ||
| + | options IPSEC_ESP # IP security (crypto; define w/ IPSEC) | ||
| + | options IPSEC_DEBUG # Необязательно. debug for IP security</code> | ||
| + | * Устанавливаем порт ipsec-tools.<code> | ||
| + | > cd /usr/ports/security/ipsec-tools | ||
| + | > make config | ||
| + | > make install clean | ||
| + | > ee /etc/rc.conf | ||
| + | racoon_enable="YES" | ||
| + | ipsec_enable="YES" | ||
| + | > mkdir -p /usr/local/etc/racoon/cert | ||
| + | > cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/racoon/racoon.conf | ||
| + | > cd /usr/local/etc/racoon/cert/ | ||
| + | </code>Создаем SSL сертификаты на каждом хосте. Копируем с одной на другую файлики *.public. В принципе, имена ключей неважны, можно называть и по IP, с соответствующими расширениями.<code> | ||
| + | > openssl req -new -nodes -newkey rsa:1024 -sha1 -keyform PEM -keyout your.key1.private -outform PEM -out your.key1.pem | ||
| + | > openssl x509 -req -in your.key1.pem -signkey your.key.private -out your.key1.public | ||
| + | </code> | ||
| + | |||
| + | |||
| + | * Создаем файл ipsec.conf. Настройка на шлюзе #1 (где есть публичный IP адрес A.B.C.D) для включения шифрования всего предназначенного W.X.Y.Z трафика. A.B.C.D/32 и W.X.Y.Z/32 это IP адреса и сетевые маски, определяющие сети или хосты, к которым будет применяться данная политика. В данном случае мы хотим применить их к трафику между этими двумя хостами. Параметр ipencap сообщает ядру, что эта политика должна применяться только к пакетам, инкапсулирующим другие пакеты. Параметр -P out сообщает, что эта политика применяется к исходящим пакетам, и ipsec -- то, что пакеты будут зашифрованы. | ||
| + | |||
| + | Оставшаяся часть строки определяет, как эти пакеты будут зашифрованы. Будет использоваться протокол esp, а параметр tunnel показывает, что пакет в дальнейшем будет инкапсулирован в IPsec пакет. Повторное использование A.B.C.D и W.X.Y.Z предназначено для выбора используемых параметров безопасности, и наконец параметр require разрешает шифрование пакетов, попадающих под это правило. | ||
| + | |||
| + | Это правило соответствует только исходящим пакетам. Вам потребуется похожее правило, соответствующее входящим пакетам. | ||
| + | <code> | ||
| + | > ee /etc/ipsec.conf | ||
| + | spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; | ||
| + | spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; | ||
| + | </code> | ||
| + | Настройка на шлюзе #2 аналогична только меняются IP местами. | ||
| + | ==== Настройка утилиты racoon ==== | ||
| + | |||
| + | <code> | ||
| + | > ee /usr/local/etc/racoon/racoon.conf | ||
| + | path include "/usr/local/etc/racoon"; | ||
| + | path certificate "/usr/local/etc/racoon/cert/"; | ||
| + | # following line activates logging & should deactivated later | ||
| + | log debug; | ||
| + | |||
| + | # если директива listen не задана, racoon слушает все доступные | ||
| + | # адреса интерфейсов. | ||
| + | |||
| + | listen | ||
| + | { | ||
| + | #isakmp ::1 [7000]; | ||
| + | isakmp 202.249.11.124 [500]; | ||
| + | #admin [7002]; # administrative port for racoonctl. | ||
| + | #strict_address; # requires that all addresses must be bound. | ||
| + | } | ||
| + | |||
| + | # описываем удалённый хост (на второй машине - идентично, | ||
| + | # тока другой IP и ключи) | ||
| + | remote 217.15.62.200 | ||
| + | { | ||
| + | exchange_mode aggressive,main; | ||
| + | my_identifier asn1dn; | ||
| + | peers_identifier asn1dn; | ||
| + | # сертификаты этой машины | ||
| + | certificate_type x509 "via.epia.public" "via.epia.private"; | ||
| + | # сертификат удлённой машины | ||
| + | peers_certfile x509 "test.su.public"; | ||
| + | proposal { | ||
| + | encryption_algorithm 3des; | ||
| + | hash_algorithm sha1; | ||
| + | authentication_method rsasig; | ||
| + | dh_group 2 ; | ||
| + | } | ||
| + | } | ||
| + | |||
| + | sainfo anonymous | ||
| + | { | ||
| + | pfs_group 2; | ||
| + | encryption_algorithm 3des; | ||
| + | authentication_algorithm hmac_sha1; | ||
| + | compression_algorithm deflate; | ||
| + | } | ||
| + | |||
| + | </code> | ||
| + | * Настройка пакетного фильтра PF, где esp_peers шлюз с которым создается шифрованный туннель. Разрешаем прохождение пакетов ESP и IPENCAP в обе стороны. | ||
| + | <code> | ||
| + | #pass IPSec | ||
| + | pass in on $ext_if_a inet proto udp from { $esp_peers } to ($ext_if_a) port isakmp | ||
| + | pass in on $ext_if_a inet proto esp from { $esp_peers } to ($ext_if_a) | ||
| + | # | ||
| + | pass out on $ext_if_a inet proto udp from { $esp_peers } to ($ext_if_a) port isakmp | ||
| + | pass out on $ext_if_a inet proto esp from { $esp_peers } to ($ext_if_a) | ||
| + | </code> | ||
| + | Cмотрим логи /var/log/security и /var/log/messages. | ||
| + | |||
| + | Как только параметры безопасности установлены, вы можете просмотреть их используя setkey(8). Запустите <code> | ||
| + | > /etc/rc.d/ipsec start | ||
| + | > /usr/local/etc/rc.d/racoon start | ||
| + | > setkey -D # список созданных защищенных каналов | ||
| + | > setkey -DP # покажет список политик безопасности | ||
| + | </code> на любом из хостов для просмотра информации о параметрах безопасности. | ||
| + | |||
| + | * Проверка работоспособности: | ||
| + | * ping между сетями должен работать | ||
| + | * [[tcpdump]] запускаем для прослушки физического интерфейса на котором построен туннель (а не виртуального gif0). В другом окне например ping -ем удаленную серую сеть (например, ping 192.168.1.11)<code bash>tcpdump -i em0 -n host 91.x.x.81 | ||
| + | ... | ||
| + | 16:15:54.419117 IP x.x.x.x > 91.x.x.81: ESP(spi=0x01540fdd,seq=0xa20), length 92 | ||
| + | ... | ||
| + | </code> | ||
| + | [[tcpdump]] должен показывать ESP пакеты. | ||
| + | |||
| + | ===== IPSec (сеть-сеть) между серверами Linux ===== | ||
| + | <file> | ||
| + | # aptitude install ipsec-tools racoon | ||
| + | </file> | ||
| + | |||
| + | * **Алгоритм настройки IPsec** | ||
| + | - Настройка пакета racoon | ||
| + | - Создание политики безопасности | ||
| + | - Виртуальные интерфейсы. Они нужны для маршрутизации сетей находящихся в локальных сетях. Два соединенных сервера будут видеть себя без интерфейсов(иногда без них не заводится и между серверами, странно вообще-то). | ||
| + | |||
| + | Ниже приведены конфиги для случая с предопределёнными ключами. | ||
| + | <file> | ||
| + | > nano /etc/racoon/racoon.conf | ||
| + | path include "/etc/racoon"; | ||
| + | path pre_shared_key "/etc/racoon/psk.txt"; | ||
| + | #path certificate "/etc/racoon/certs"; | ||
| + | |||
| + | remote 10.5.21.23 | ||
| + | { | ||
| + | exchange_mode aggressive,main; | ||
| + | doi ipsec_doi; | ||
| + | situation identity_only; | ||
| + | my_identifier address; #Определяет метод идентификации, который будет использоваться при проверке подлинности узлов. | ||
| + | lifetime time 2 min; | ||
| + | initial_contact on; | ||
| + | proposal { | ||
| + | encryption_algorithm 3des; | ||
| + | hash_algorithm sha1; | ||
| + | authentication_method pre_shared_key; # Определяет метод проверки подлинности, используемый при согласовании узлов. | ||
| + | dh_group 2; | ||
| + | } | ||
| + | proposal_check strict; | ||
| + | } | ||
| + | |||
| + | sainfo anonymous # Отмечает, что SA может автоматически инициализировать соединение с любым партнёром при совпадении учётных сведений IPsec. | ||
| + | { | ||
| + | pfs_group 2; | ||
| + | lifetime time 2 min ; | ||
| + | encryption_algorithm 3des, blowfish 448, des, rijndael ; | ||
| + | authentication_algorithm hmac_sha1, hmac_md5 ; | ||
| + | compression_algorithm deflate ; | ||
| + | } | ||
| + | </file> | ||
| + | Создадим политику безопасности | ||
| + | <file> | ||
| + | > nano pol.cfg | ||
| + | #!/sbin/setkey -f | ||
| + | flush; | ||
| + | spdflush; | ||
| + | |||
| + | spdadd 10.5.21.24 10.5.21.23 any -P out ipsec esp/transport//require; | ||
| + | |||
| + | spdadd 10.5.21.23 10.5.21.24 any -P in ipsec esp/transport//require; | ||
| + | > chmod +x pol.cfg | ||
| + | > ./pol.cfg | ||
| + | </file> | ||
| + | Создадим выполняемый файл для создания интерфейсов и запустим его. | ||
| + | <file> | ||
| + | >nano tun.sh | ||
| + | #!/bin/sh | ||
| + | ip tunnel del tun0 | ||
| + | ip tunnel add tun0 mode ipip remote 10.5.21.23 local 10.5.21.24 dev eth0 # создаем интерфейс tun0 и устанавливаем туннель | ||
| + | # между хостами (здесь нужно использовать реальные IP адреса сетевых интерфейсов). | ||
| + | ifconfig tun0 10.0.9.1 pointopoint 10.0.9.2 # назначаем интерфейсу IP адреса, для текущего хоста и для другого конца | ||
| + | # туннеля (не обязательно). | ||
| + | ifconfig tun0 mtu 1472 | ||
| + | ifconfig tun0 up | ||
| + | |||
| + | # ниже можно прописать нужные нам маршруты, например так | ||
| + | route add -net ... netmask 255.255.255.0 gw ... | ||
| + | route add -net ... netmask 255.255.255.0 gw ... | ||
| + | |||
| + | > ./tun.sh | ||
| + | </file> | ||
| + | <note>Для автоматической загрузки правил файл tun.sh правильно поместить для [[Debian]] в директорию /etc/network/if-up.d</note> | ||
| + | |||
| + | **Все IPSec тунель между сетями настроен.** | ||
| + | ===== iptables IPSec ===== | ||
| + | <file bash> | ||
| + | $IPT -A INPUT -p udp -m udp -s xxx.xxx.xxx.xxx -d xxx.xxx.xxx.xx --dport 500 -j ACCEPT | ||
| + | $IPT -A INPUT -p esp -j ACCEPT | ||
| + | $IPT -A INPUT -p ah -j ACCEPT | ||
| + | $IPT -A INPUT -p ipencap -j ACCEPT | ||
| + | $IPT -A INPUT -p udp -m udp -s xxx.xxx.xxx.xxx -d xxx.xxx.xxx.xx --dport 4500 -j ACCEPT | ||
| + | </file> | ||
| + | ===== IPsec «узел-узел» без виртуальных интерфесов ===== | ||
| + | **Задача**. При помощи IPSec (pre_shared_key) соединить два сервера (Debian 5 и Debian 7). У обоих реальные IP. Никаких сетей пробрасывать не надо. Должен шифроваться трафик между этими IP. То есть строим транспортный режим (между двумя хостами). | ||
| + | |||
| + | Настройка сводится к двум пунктам | ||
| + | * Настройка пакета racoon | ||
| + | * Создание политики безопасности: нужно указать режим transport и any<file> | ||
| + | spdadd x.x.x.x/32 y.y.y.y/32 any -P out ipsec esp/transport//require; | ||
| + | spdadd y.y.y.y/32 x.x.x.x/32 any -P in ipsec esp/transport//require; | ||
| + | </file> | ||
| + | |||
| + | ===== IPSec (GRE) (узел-сеть) между Debian и Cisco ===== | ||
| + | **Задача:** построить IPsec в туннельном режиме. [[SIP]] сигнализация между поставщиком (Cisco) и клиентом (Debian 5) шифруется IPsec, а [[RTP]] минуя туннель идет кратчайшим маршрутом через обычный Интернет. | ||
| + | |||
| + | * Клиент tunnel-endpoint is: 193.xxx.xxx.xxx | ||
| + | * Сервер tunnel-endpoint is: 62.xxx.xxx.xxx | ||
| + | * Клиент Sip Server is : 193.xxx.xxx.xxx | ||
| + | * Сервер SIP Servers are : 62.xxx.237.xxx/26 and 62.xxx.246.xxx/26 | ||
| + | |||
| + | да и перед настрокой туннеля (перед auto tun0) прописать | ||
| + | pre-up modprobe ip_gre | ||
| + | <file> | ||
| + | # modprobe ip_gre | ||
| + | </file> | ||
| + | |||
| + | Скрипт для создания [[GRE]] туннеля в Debian: | ||
| + | <file> | ||
| + | #!/bin/sh -e | ||
| + | |||
| + | modprobe ip_gre | ||
| + | #ip tunnel del tun0 | ||
| + | ip tunnel add tun0 mode gre remote 62.xxx.xxx.xxx local 193.xxx.xxx.xxx dev eth0 | ||
| + | ifconfig tun0 mtu 1472 | ||
| + | ifconfig tun0 up | ||
| + | route add -net 62.xxx.237.xxx netmask 255.255.255.192 dev tun0 | ||
| + | route add -net 62.xxx.246.xxx netmask 255.255.255.192 dev tun0 | ||
| + | </file> | ||
| + | ====== Утилиты ====== | ||
| + | * Для управления можно использовать утилиту racoonctl<file> | ||
| + | racoonctl show-sa esp | ||
| + | </file> | ||
| + | * Cписок созданных защищенных каналов<file> | ||
| + | > setkey -D | ||
| + | </file> | ||
| + | * список политик безопасности <file> | ||
| + | > setkey -DP | ||
| + | </file> | ||
| + | ====== Мониторинг IPsec ====== | ||
| + | Мониторинг IPsec в [[Debian]] 5.0 2.6.26-2-686-bigmem i686. В уровень детализации логов log notify или log debug устанавливается в файле racoon.conf. | ||
| + | <file> | ||
| + | # tail -F /var/log/syslog | grep racoon | ||
| + | </file> | ||
| + | |||
| + | ====== IPSec Openswan ====== | ||
| + | |||
| + | * Homepage: [[https://www.openswan.org|Openswan]] | ||
| + | * Homepage: [[http://www.strongswan.org|strongSwan]] | ||
| + | |||
| + | {{ :openswan.png?nolink&600 |}} | ||
| + | |||
| + | OpenSWAN начал разрабатываться как форк прекратившего в настоящее своё существование проекта FreeS/WAN (Free Secure Wide-Area Networking), релизы продолжают выпускаться под свободной GNU General Public License. В отличие от проекта FreeS/WAN, OpenSWAN разрабатывается не только специально под операционную систему GNU/Linux. | ||
| + | OpenSWAN обеспечивает стек протоколов IpSec: AH и ESP для ядра Linux,а также инструментарий для управления ими. | ||
| + | |||
| + | OpenSWAN для ветки ядра 2.6 предоставляет встроенную, NETKEY реализацию IpSec, так и собственную KLIPS. | ||
| + | |||
| + | <note important>CentOS 6.6 поддерживает только Openswan в основных пакетах.</note> | ||
| + | |||
| + | |||
| + | **Задача**. Создать шифрованный туннель между [[CentOS]] 6.6 и [[Debian]] 7.8 Wheezy. [[GRE]] + Openswan (type=transport) | ||
| + | |||
| + | * В первую очередь создаем интерфейсы [[GRE]] и проверяем маршрутизацию между нашими сетями. | ||
| + | * Openswan будет шифровать наш трафик в транспортном режиме(host-to-host), не вмешиваясь в маршрутизацию. Установим пакеты на обоих серверах<file bash> | ||
| + | yum install openswan | ||
| + | aptitude install openswan | ||
| + | </file> | ||
| + | * На обоих концах туннеля настраиваем [[iptables]]. Открыть 500 порт, по которому идет обмен сертификатам и ключами.<file bash> | ||
| + | iptables -A INPUT -p udp --dport 500 -j ACCEPT | ||
| + | iptables -A INPUT -p tcp --dport 4500 -j ACCEPT | ||
| + | iptables -A INPUT -p udp --dport 4500 -j ACCEPT | ||
| + | |||
| + | # Более строго выпишем правила для IPSec | ||
| + | IPT="/sbin/iptables" | ||
| + | $IPT -A INPUT -p udp -s x.x.x.x -d x.x.x.x --dport 500 -m comment --comment "IpSec" -j ACCEPT | ||
| + | $IPT -A INPUT -p tcp -s x.x.x.x -d x.x.x.x --dport 4500 -m comment --comment "IpSec" -j ACCEPT | ||
| + | $IPT -A INPUT -p udp -s x.x.x.x -d x.x.x.x --dport 4500 -m comment --comment "IpSec" -j ACCEPT | ||
| + | </file> | ||
| + | |||
| + | * **Подготовка конфигурационных файлов.** Используемые файлы и директории<file bash> | ||
| + | /etc/ipsec.d/ | ||
| + | /etc/ipsec.conf | ||
| + | </file> | ||
| + | |||
| + | * Проверка системы на правильность окружения для IPsec<file> | ||
| + | ipsec verify | ||
| + | </file>Добавить в конец файла sysctl.conf<file bash> | ||
| + | # IPSec Verify Compliant | ||
| + | # Разрешить пересылку пакетов между интерфейсами для IPv4 | ||
| + | net.ipv4.ip_forward = 1 | ||
| + | # отключаем icmp redirect | ||
| + | net.ipv4.conf.all.send_redirects = 0 | ||
| + | net.ipv4.conf.all.accept_redirects = 0 | ||
| + | net.ipv4.conf.default.send_redirects = 0 | ||
| + | net.ipv4.conf.default.accept_redirects = 0 | ||
| + | </file>Применим параметры ядра без перезагрузки<file> | ||
| + | sysctl -p | ||
| + | </file> | ||
| + | |||
| + | * [[Webmin]] имеет встроенный модуль IPsec VPN Configuration Openswan version U2.6.37/K3.0.0-1-amd64 | ||
| + | * Первым конфигурационным файлом является /etc/ipsec.conf. Задаем явно в разделе config setup<file bash> | ||
| + | config setup | ||
| + | protostack=netkey | ||
| + | plutoopts="--perpeerlog" | ||
| + | dumpdir=/var/run/pluto/ | ||
| + | nat_traversal=yes | ||
| + | virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16, | ||
| + | %v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10 | ||
| + | oe=off | ||
| + | #plutostderrlog=/dev/null | ||
| + | </file> | ||
| + | * В первую очередь вам необходимо сформировать ключи, используемые шлюзами для аутентификации. В Debian это ключ можно создать при инсталляции. Запускаем на обеих системах ipsec newhostkey, генерируя нужные нам ключи.<file bash> | ||
| + | ipsec newhostkey --output /etc/ipsec.secrets | ||
| + | |||
| + | ipsec showhostkey --left | ||
| + | ipsec showhostkey --right | ||
| + | </file> | ||
| + | * Независимо от того, как вы сконфигурируете сервер, всегда рассматривайте вашу подсеть как расположенную «слева» (left), а подсеть, к которой доступ осуществляется дистанционно, сайт, как расположенный «справа» (right). Следующая конфигурация выполняется на сервере VPN на стороне Left. На другом сервере должен быть **точно такие настройки** для этого соединения.<file bash> | ||
| + | conn gagahost-to-miraxhost | ||
| + | auto=start | ||
| + | left=188.x.x.x | ||
| + | leftrsasigkey=0sN4vI6ooUyMyL ... | ||
| + | right=91.x.x.x | ||
| + | rightrsasigkey=0sfAhuo4SQ0Qt ... | ||
| + | type=transport | ||
| + | </file><file bash> | ||
| + | scp /etc/ipsec.conf admin@192.168.35.254:/home/admin/ | ||
| + | </file> | ||
| + | * [[ipsec?&#diagnostika_ipsec_openswan|Диагностика IPSec Openswan]]:<file> | ||
| + | service ipsec start | ||
| + | ipsec verify | ||
| + | ip xfrm state list | ||
| + | </file> | ||
| + | ===== Диагностика IPSec Openswan ===== | ||
| + | |||
| + | Запуск сервиса и поиск возникающих проблем. | ||
| + | |||
| + | **Openwan logs (pluto)**: /var/log/auth.log /var/log/syslog /var/log/pluto/peer/a/b/c/d/a.b.c.d.log | ||
| + | * The /var/log/auth.log is where logs on the authentication transactions are, stored. | ||
| + | * The /var/log/syslog is the system log, it's always good to check here for any startup or general errors. | ||
| + | * /var/log/pluto/peer/a/b/c/d/a.b.c.d.log file is the per peer pluto log. You can find some of the startup and shutdown information in here. | ||
| + | |||
| + | Если на обоих серверах нет ошибок, то туннель должен сейчас подняться. Вы можете проверить туннель с помощью команды ping с следующим образом. Если туннель не поднят, то частная подсеть на стороне B не должна быть доступна со стороны А, т. е. команда ping не должна работать. После того, как туннель будет поднят , попробуйте команду ping для доступа к частной подсети на стороне B со стороны A. Это должно работать. | ||
| + | |||
| + | Кроме того, в таблице маршрутизации сервера должны появиться маршруты к частной подсети.<file> | ||
| + | # ip route | ||
| + | [siteB-private-subnet] via [siteA-gateway] dev eth0 src [siteA-public-IP] | ||
| + | default via [siteA-gateway] dev eth0 | ||
| + | </file> | ||
| + | |||
| + | * Команды проверки состояний соединений:<file bash> | ||
| + | ipsec verify | ||
| + | service ipsec status | ||
| + | ip xfrm state list - управления SAD, возможности шире, чем у setkey | ||
| + | ipsec addconn --checkconfig - проверка конфигурации | ||
| + | ipsec auto --status - подробное состояние | ||
| + | ip xfrm monitor | ||
| + | </file> | ||
| + | * Политики ipsec, согласно которым принимается решение какой трафик направлять в туннель<file bash> | ||
| + | ip xfrm pol show | ||
| + | </file> | ||
| + | |||
| + | * [[tcpdump]] запускаем для прослушки физического интерфейса на котором построен туннель (а не виртуального GRE). В другом окне например ping -ем удаленную серую сеть (например, ping 192.168.1.11). tcpdump должен показывать ESP пакеты.<code bash>tcpdump -i em0 -n host 91.x.x.81 | ||
| + | ... | ||
| + | 16:15:54.419117 IP x.x.x.x > 91.x.x.81: ESP(spi=0x01540fdd,seq=0xa20), length 92 | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | ====== Ссылки ====== | ||
| + | |||
| + | * [[GRE]] - протокол туннелирования сетевых пакетов | ||
| + | * [[https://libreswan.org|Libreswan VPN software]] | ||
| + | * [[http://xgu.ru/wiki/IPsec_%D0%B2_Linux|IPsec в Linux]]: взаимодействие IPSec и Netfilter | ||
| + | * [[http://habrahabr.ru/post/170895/|Сети для самых маленьких. Часть седьмая. VPN]] Наглядно описан GRE туннель, IpSec и GRE over IPSec | ||
| + | * [[http://thejimmahknows.com/site-to-site-ipsec-vpn-using-openswan-and-cisco-asa-9-13/|What is an IPsec (Openswan) Site-to-Site VPN?]] | ||
| + | * [[http://www.freebsd.org/doc/ru/books/handbook/ipsec.html|Руководство FreeBSD VPN через IPsec]] | ||
| + | |||
| + | Openswan: | ||
| + | * [[http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Configuring_Linux_VPNs#.Vdti13XtlBc|Quick HOWTO : Ch35 : Configuring Linux VPNs]] | ||
| + | |||
| + | * [[https://wiki.debian.org/ru/OpenSWAN|OpenSWAN — полноценная реализация IPsec для ядер Linux версий 2.0, 2.2, 2.4, 2.6 и выше]] | ||
| + | * [[http://rus-linux.net/MyLDP/sec/vpn-tunnel.html|Как в Linux с помощью Openswan создать туннель IPsec VPN]] | ||
| + | * [[http://www.opennet.ru/base/net/openswan_tunnel.txt.html|Организация VPN соединений вида сеть-сеть с использованием IpSec OpenS/WAN]] | ||
| + | * [[http://amadys.blogspot.com/2010/06/openswan-2626-ipsec-for-linux.html|Openswan-2.6.26_ IPSec for Linux. Webmin]] | ||
| + | |||
| + | Racoon: | ||
| + | * [[http://rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-ipsec-host2host.html|Конфигурация IPsec «узел-узел»]] | ||
| + | * [[http://www.richim.org/articles.php?article_id=5|Виртуальная частная сеть. (туннельный режим, соединение сеть-сеть)]] | ||
ipsec.txt · Последние изменения: 2018/07/12 10:19 (внешнее изменение)
Инструменты страницы
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
