Implementacje IPsec - Linuks FreeS/WAN - http://www.freeswan.org/ Openswan - http://www.openswan.org/ strongswan - http://www.strongswan.org/ ipsec-tools - http://ipsec-tools.sourceforge.net/ Jądra 2.6+ natywnie udostępniają stos IPsec. 1
Knoppix zainstalowane pakiety $dpkg -list grep -i ipsec ii ipsec-tools 1:0.7.1-1.3 IPsec tools for Linux Pakiet powinien zawierać: libipsec biblioteka z implementacją PF_KEY (rodzina protokołów gniazda komunikacji z systemowym SAD (Security Association Database)) setkey narzędzie do manipulowania SPD (Security Policy Database) i SAD(Security Association Database) racoon demon do automatycznej wymiany kluczy (IKE - Internet Key Exchange) dla połączeń IPsec 2
Pakiet ipsec-tools - kompilacja http://ipsec-tools.sourceforge.net/ Będziemy potrzebować dodatkowych pakietów: libselinux1-dev - Security-Enhanced Linux Flex - Fast Lex Domyślny prefix = /usr/local 3
Pakiet ipsec-tools setkey #setkey -f ścieżka_do_pliku_konfiguracyjnego #setkey -D #setkey -DP #setkey -F #setkey -FP (wyświetla wpisy SA - Security Association) (wyświetla wpisy SP - Security Policy) (kasuje wpisy SA) (kasuje wpisy SP) 4
Pakiet ipsec-tools setkey Plik konfiguracyjny spdadd src_range dst_range upperspec policy ; Dodaje nowy wpis do SPD (Security Policy Database) src_range, dst_range: adres, adres/długość maski, adres[port], adres/długość maski[port] upperspec: protokół, any dla każdego protokołu policy: -P in (out) ipsec (discard, none) protocol/mode/src-dst/level [...] 5
Pakiet ipsec-tools setkey Plik konfiguracyjny policy: -P in (out) ipsec (discard, none) protocol/mode/src-dst/level [...] protocol: ah, esp mode: transport, tunnel src-dst: w trybie tunelowania adresy hostów tworzących tunel level: use użyty, gdy dostępny, require wymagany, 6
Pakiet ipsec-tools setkey Plik konfiguracyjny add src dst protocol spi [extensions] algorithm ; Dodaje nowy wpis do SAD (Security Association Database) src, dst: adresy hostów dla określanego SA protocol: esp, ah spi: Security Parameter Index (SPI) extensions: -m (transport, tunnel, any) 7
Pakiet ipsec-tools setkey Plik konfiguracyjny add src dst protocol spi [extensions] algorithm ; algorithm: -E ealgo key (algorytm szyfrujący dla ESP oraz klucz) -A aalgo key (algorytm identyfikacji dla AH oraz klucz) ealgo: 3des-cbc blowfish-cbc aalgo: hmac-sha1 hmac-md5 flush ; spdflush ; (kasuje wpisy SA, to samo co #setkey -F) (kasuje wpisy SP, to samo co #setkey -FP) 8
Pakiet ipsec-tools racoon racoon -f ścieżka_do_pliku_konfiguracyjnego racoon -l ścieżka_do_pliku_logowania (logfile) racoon -d racoon -F (zwiększa poziom debugowania) (uruchom racoon na pierwszym planie) 9
Pakiet ipsec-tools racoon Plik konfiguracyjny path pre_shared_key file; file: ścieżka do pliku zawierającego PSK wstępne hasła path certificate path; path: katalog, w którym powinny znajdować się certyfikaty remote name { statements } statements: parametry dla IKE fazy 1 name: identyfikator zdalnego hosta, anonymous dopasowuje wszystkie identyfikatory 10
Pakiet ipsec-tools racoon Plik konfiguracyjny Statements: exchange_mode main ; Definiuje tryb wymiany. my_identifier idtype ; Specyfikuje identyfikator wysyłany do zdalnego hosta i używany w negocjacjach. idtype: address asn1dn adres IP typ ASN.1 nazwa wyróżniająca (distniguished name). Pobierana z pola 'subject' certyfikatu. 11
Pakiet ipsec-tools racoon Plik konfiguracyjny certificate_type certspec; Definiuje typ certyfikatu certspec: x509 certfile privkeyfile ; certfile: privkeyfile: nazwa pliku certyfikatu nazwa pliku klucza prywatnego proposal { sub-substatements } Definiuje propozycję do negocjacji encryption_algorithm algorithm ; Algorytm szyfrowania: 3des, blowfish, aes 12
Pakiet ipsec-tools racoon Plik konfiguracyjny hash_algorithm algorithm ; Algorytm funkcji skrótu: md5, sha1 authentication_method type ; Metoda identyfikacji: pre_shared_key, rsasig dh_group group ; Definiuje grupę Diffiego-Hellmana: modp768, modp1024, modp2048; lub, odpowiednio: 1, 2, 14 sainfo local_id remote_id { statements } Definiuje parametry dla IKE fazy 2 local_id, remote_id identyfikatory, anonymous dopasowuje każdy identyfikator 13
Pakiet ipsec-tools racoon Plik konfiguracyjny Statements: pfs_group group ; Definiuje grupę Diffiego-Hellmana encryption_algorithm algorithms ; Definiuje algorytm szyfrowania (dla ESP): 3des, blowfish, aes authentication_algorithm algorithms ; Definiuje algorytm wykorzystywany przy identyfikacji: hmac_md5, hmac_sha1 compression_algorithm algorithms ; Definiuje algorytm kompresji: deflate 14
Pakiet ipsec-tools racoon Plik konfiguracyjny Plik zawierający klucze PSK: client_id password 15
Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Ręczne ustawianie kluczy (manual keying): setkey.conf flush; spdflush; # AH add 158.75.88.244 158.75.90.45 ah 24500 -A hmac-md5 "1234567890123456"; add 158.75.90.45 158.75.88.244 ah 15700 -A hmac-md5 "6543210987654321"; # ESP add 158.75.88.244 158.75.90.45 esp 24501 -E 3des-cbc "123456789012123456789012"; add 158.75.90.45 158.75.88.244 esp 15701 -E 3des-cbc "210987654321210987654321"; spdadd 158.75.88.244 158.75.90.45 any -P out ipsec esp/transport//require ah/transport//require; spdadd 158.75.90.45 158.75.88.244 any -P in ipsec esp/transport//require ah/transport//require; 16
Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Ręczne ustawianie kluczy (manual keying): test $ping 158.75.90.45 IP 158.75.88.244 > 158.75.90.45: AH(spi=0x00005fb4,seq=0x237): ESP(spi=0x00005fb5,seq=0x237), length 88 IP 158.75.90.45 > 158.75.88.244: AH(spi=0x00003d54,seq=0x1c6): ESP(spi=0x00003d55,seq=0x1c6), length 88 17
Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Wstępne hasło (preshared key): setkey.conf flush; spdflush; spdadd 158.75.88.244 158.75.90.196 any -P out ipsec esp/transport//require; spdadd 158.75.90.196 158.75.88.244 any -P in ipsec esp/transport//require; psk.txt 158.75.90.196 moj_klucz_psk 18
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; remote anonymous { exchange_mode main; Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Wstępne hasło (preshared key): racoon.conf } proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } sainfo anonymous { pfs_group 2; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } 19
Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Wstępne hasło (preshared key): test $ping 158.75.90.196 IP 158.75.88.244 > 158.75.90.196: ESP(spi=0x5bec92fa,seq=0x93), length 100 IP 158.75.90.196 > 158.75.88.244: ESP(spi=0x056b0e22,seq=0x94), length 100 20
Pakiet ipsec-tools Przykładowe pliki konfiguracyjne Wstępne hasło (preshared key): test Plik logowania racoon: INFO: respond new phase 1 negotiation: 158.75.88.244[500]<=>158.75.89.113[500] INFO: begin Identity Protection mode. INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY INFO: received Vendor ID: RFC 3947 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 INFO: received Vendor ID: FRAGMENTATION INFO: ISAKMP-SA established 158.75.88.244[500]-158.75.89.113[500] spi:40764358f8f7c038:d23b150f4aad4194 INFO: respond new phase 2 negotiation: 158.75.88.244[0]<=>158.75.89.113[0] INFO: IPsec-SA established: ESP/Transport 158.75.88.244[0]- >158.75.89.113[0] spi=36902396(0x23315fc) INFO: IPsec-SA established: ESP/Transport 158.75.88.244[0]- >158.75.89.113[0] spi=1301126193(0x4d8d9c31) 21
Konfiguracja w systemie Windows XP / 7 Uruchomienie programu Microsoft Management Console (MMC) Start Uruchom: mmc Dodajemy nową przystawkę: Plik Dodaj/Usuń przystawkę Zarządzanie zasadami zabezpieczeń IP 22
Konfiguracja w systemie Windows XP / 7 Klikamy prawym klawiszem myszy na Zasady zabezpieczeń i wybieramy Utwórz zasadę zabezpieczeń IP... 23
Konfiguracja w systemie Windows XP / 7 Dodajemy reguły do zasady klikając na guzik Dodaj... 24
Konfiguracja w systemie Windows XP / 7 Konfigurujemy filtry 25
Konfiguracja w systemie Windows XP / 7 Konfigurujemy propozycje dla IKE fazy 2 26
Konfiguracja w systemie Windows XP / 7 Konfigurujemy ustawienia tunelowania 27
Konfiguracja w systemie Windows XP / 7 Wybieramy metodę uwierzytelniania 28
Konfiguracja w systemie Windows XP / 7 Konfigurujemy propozycje dla IKE fazy 1 29
Konfiguracja w systemie Windows XP / 7 Po skonfigurowaniu zasady należy ją przypisać: Klikamy prawym klawiszem myszy na nazwę zasady i wybieramy Przypisz 30
Konfiguracja w systemie Windows XP Wynik komendy ping po skonfigurowaniu połączenia IPsec: >ping 158.75.88.244 Badanie 158.75.88.244 z użyciem 32 bajtów danych: Negocjowanie zabezpieczeń IP. Odpowiedz z 158.75.88.244: bajtów=32 czas<1 ms TTL=64 Odpowiedz z 158.75.88.244: bajtów=32 czas<1 ms TTL=64 Odpowiedz z 158.75.88.244: bajtów=32 czas<1 ms TTL=64 Statystyka badania ping dla 158.75.88.244: Pakiety: Wysłane = 4, Odebrane = 3, Utracone = 1 (25% straty), Szacunkowy czas błądzenia pakietów w millisekundach: Minimum = 0 ms, Maksimum = 0 ms, Czas średni = 0 ms 31
Certyfikaty Generowanie certyfikatu X.509 Ścieżki w systemie Knoppix: /usr/lib/ssl/openssl.cnf /usr/lib/ssl/misc/ca.sh Tworzenie nowego CA: $mkdir certs $cd certs $/usr/lib/ssl/misc/ca.sh -newca Wydłużamy ważność CA: $cd democa/ $openssl x509 -in cacert.pem -days 3650 -out cacert.pem -signkey./private/cakey.pem Tworzymy klucz i podpisujemy: $cd.. $/usr/lib/ssl/misc/ca.sh -newreq $/usr/lib/ssl/misc/ca.sh -sign 32
Certyfikaty Generowanie certyfikatu X.509 Naszym nowym certyfikatem jest plik newcert.pem, a nowym kluczem prywatnym plik newkey.pem Przygotowanie klucza dla systemu Windows $openssl pkcs12 -export -inkey newkey.pem -in newcert.pem -certfile democa/cacert.pem -out export.p12 -name "Windows Cert" 33
Referencje 1. Ipsec-Tools, http://ipsec-tools.sourceforge.net/ 2. Linux Advanced Routing & Traffic Control HOWTO: Chapter 7. IPSEC: secure IP over the Internet, http://lartc.org/howto/lartc.ipsec.html 3. The official IPsec Howto for Linux, http://www.ipsec-howto.org 4. Rozwiązywanie problemów: Czy oprogramowanie klienta IPsec w WinXP naprawdę działa?, http://www.tomshardware.pl/network/20030904/index.html 34