Linux Advanced Routing & Traffic Control HOWTO - [13]

>10.0.0.11 10.0.0.216

>        esp mode=transport spi=165123736(0x09d79698) reqid=0(0x00000000)

>        E: 3des-cbc d7af8466 acd4f14c 872c5443 ec45a719 d4b3fde1 8d239d6a

>        A: hmac-sha1 41ccc388 4568ac49 19e4e024 628e240c 141ffe2f

>        seq=0x00000000 replay=4 flags=0x00000000 state=mature

>        created: Nov 11 12:28:45 2002   current: Nov 11 12:29:16 2002

>        diff: 31(s)     hard: 600(s)    soft: 480(s)

>        last:                           hard: 0(s) soft: 0(s)

>        current: 231(bytes)     hard: 0(bytes) soft: 0(bytes)

>        allocated: 2    hard: 0 soft: 0

>        sadb_seq=0 pid=17112 refcnt=0

А команда setkey –DP — список политик безопасности, даст такой результат:

>10.0.0.11[any] 10.0.0.216[any] tcp

>        in ipsec

>        esp/transport//require

>        created:Nov 11 12:28:28 2002 lastused:Nov 11 12:29:12 2002

>        lifetime:0(s) validtime:0(s)

>        spid=3616 seq=5 pid=17134

>        refcnt=3

>10.0.0.216[any] 10.0.0.11[any] tcp

>        out ipsec

>        esp/transport//require

>        created:Nov 11 12:28:28 2002 lastused:Nov 11 12:28:44 2002

>        lifetime:0(s) validtime:0(s)

>        spid=3609 seq=4 pid=17134

>        refcnt=3

Если этот вариант у вас не работает, проверьте — все ли файлы конфигурации принадлежат суперпользователю (root) и доступны на чтение только ему. Чтобы запустить racoon в приоритетном режиме, используйте ключ '-f'. Чтобы указать ему местоположение файла конфигурации — ключ '-f'. Для того, чтобы увеличить детальность, добавьте инструкцию 'log debug;' в racoon.conf.

Как уже говорилось, использование предопределенных ключей осложнено необходимостью тесной координации с удаленной стороной, что не всегда бывает удобно. Кроме того, при согласовании ключевой информации она становится известной нескольким лицам (по крайней мере двоим), а секрет, который знают несколько человек, перестает быть секретом. К счастью существуют асимметричные технологии кодирования, которые помогают снять эту проблему.

Если каждая из сторон, использующих IPSEC, создаст открытый и секретный ключи, то обе стороны, обменявшись своими открытыми ключами и настроив политику безопасности, смогут установить защищенное соединение.

Процедура создания ключей относительно проста, хотя и требует выполнения некоторых дополнительных действий. Ниже рассматривается пример использования, для этих целей, утилиты openssl.

OpenSSL обладает разветвленной инфраструктурой поддержки ключей, используемых для подтверждения сертификатов подлинности. Прямо сейчас, мы с вами пройдем всю процедуру создания сертификатов и настройки защищенного соединения.

Для начала создадим сертификат для нашего хоста, с именем laptop. Начнем с генерации "запроса на сертификат":

>$ openssl req –new –nodes –newkey rsa:1024 –sha1 –keyform PEM –keyout \

> laptop.private –outform PEM –out request.pem

Здесь будет предложено ответить на ряд вопросов:

>Country Name (2 letter code) [AU]:NL

>State or Province Name (full name) [Some-State]:.

>Locality Name (eg, city) []:Delft

>Organization Name (eg, company) [Internet Widgits Pty Ltd]:Linux Advanced Routing & Traffic Control

>Organizational Unit Name (eg, section) []:laptop

>Common Name (eg, YOUR name) []:bert hubert

>Email Address []:[email protected]

>Please enter the following 'extra' attributes

>to be sent with your certificate request

>A challenge password []:

>An optional company name []:

Заполните поля запроса по своему усмотрению.

Теперь создадим собственно сертификат, подписанный самим собой:

>$ openssl x509 –req –in request.pem –signkey laptop.private –out \

> laptop.public

>Signature ok

>subject=/C=NL/L=Delft/O=Linux Advanced Routing & Traffic \

> Control/OU=laptop/CN=bert hubert/[email protected]

>Getting Private key

После этого файл request.pem можно удалить.

Повторите эту процедуру для всех ваших компьютеров. Вы можете свободно передавать сгенерированные открытые ключи (файлы .public), но сохраняйте файлы .private в секрете!

Теперь, после того как мы создали открытый и секретный ключи, мы можем передать их racoon.

Вернемся к нашей предыдущей конфигурации хостов 10.0.0.11 ('upstairs') и 10.0.0.216 ('laptop').

В файл racoon.conf , на 10.0.0.11, добавим: path certificate "/usr/local/etc/racoon/certs";

>remote 10.0.0.216

>{

> exchange_mode aggressive,main;

> my_identifier asn1dn;

> peers_identifier asn1dn;

>certificate_type x509 "upstairs.public" "upstairs.private";

>peers_certfile "laptop.public";

> proposal {

>  encryption_algorithm 3des;

>  hash_algorithm sha1;

>  authentication_method rsasig;

>  dh_group 2 ;

> }

>}

Тем самым сообщив racoon, что сертификаты находятся в каталоге /usr/local/etc/racoon/certs/. Кроме того, добавим раздел, описывающий удаленный компьютер 10.0.0.216.

Строки asn1dn говорят о том, что локальный и удаленный идентификаторы следует извлекать из открытых ключей. Это — 'subject=/C=NL/L=Delft/O=Linux Advanced Routing & Traffic Control/OU=laptop/CN=bert hubert/[email protected]' из листинга, приведенного выше.