Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 6. Virtuelle Private Netzwerke | Nach vorne |
Sie können IPsec so konfigurieren, dass ein Desktop oder eine Workstation mit einem(r) anderen über eine Host-zu-Host-Verbindung verbunden werden kann. Diese Art der Verbindung verwendet das Netzwerk, mit dem jeder Host verbunden ist, um einen sicheren Tunnel zueinander zu schaffen. Die Erfordernisse für eine Host-zu-Host-Verbindung sind minimal, wie auch die Konfiguration von IPsec bei jedem Host. Die Hosts brauchen lediglich eine bestimmte Verbindung zu einem Träger-Netzwerk (wie das Internet) und Red Hat Enterprise Linux um die IPsec-Verbindung herzustellen.
Der erste Schritt bei der Erstellung einer Verbindung ist das Einholen von System- und Netzwerkinformationen von jeder Workstation. Für eine Host- zu Host-Verbindung brauchen Sie die folgende Information:
Die IP-Adresse für beide Hosts
Einen einmaligen Namen, um die IPsec-Verbindung zu identifizieren und sie von anderen Geräten oder Verbindungen zu unterscheiden (z.B. ipsec0).
Einen fixen Schlüssel zur Verschlüsselung oder einen, der automatisch von racoon geschaffen wurde.
Ein bereits vorher gemeinsam verwendeter Schlüssel zu Authentifikation, der verwendet wird, um die Verbindung zu initialisieren und den Austausch von Schlüsseln zur Verschlüsselung möglich zu machen.
Stellen Sie sich z.B. vor, Workstation A und Workstation B wollen sich durch einen IPsec-Tunnel miteinander verbinden. Sie wollen sich unter Verwendung eines vorher gemeinsam verwendeten Schlüssels mit dem Wert von foobarbaz. Die Benutzer kommen überein,racoon automatisch einen Schlüssel zur Authentifikation generieren zu lassen, der von beiden Hosts gemeinsam verwendet wird. Beide Hosts entscheiden sich dafür, ihre Verbindungen ipsec0 zu nennen.
Im folgenden sehen Sie die ifcfg Datei für Host-zu-Host-Verbindung mit IPsec. Der einmalige Name zur Identifizierung der Verbindung in diesem Beispiel ist ipsec0, der daraus resultierende Dateiname ist daher /etc/sysconfig/network-scripts/ifcfg-ipsec0.
DST=X.X.X.X TYPE=IPsec ONBOOT=yes IKE_METHOD=PSK |
Workstation A würde X.X.X.X mit der IP Adresse von Workstation B ersetzen, während Workstation B X.X.X.X mit der IP Adresse von Workstation A ersetzen würde. Die Verbindung ist so eingestellt, dass sie beim Hochfahren startet (ONBOOT=yes) und verwendet die Authentifizierungs-Methode der vorher gemeinsam verwendeten Schlüssel (IKE_METHOD=PSK).
Im folgenden finden Sie die Datei mit den vorher gemeinsam benützten Schlüsseln (/etc/sysconfig/network-scripts/keys-ipsec0), die beide Workstations verwenden, um sich gegenseitig zu authentifizieren. Der Inhalt dieser Datei sollte auf beiden Workstations identisch sein und nur der Root-Benutzer sollte die Datei lesen oder überschreiben können.
IKE_PSK=foobarbaz |
![]() | Wichtig | |
---|---|---|
Um die keys-ipsec0 Datei zu verändern, damit sie nurvom Root-Benutzer gelesen oder bearbeitet werden kann, führen Sie nach der Erstellung der Datei den folgenden Befehl aus:
|
Sie können den Authentifikations-Schlüssel jederzeit ändern. Bearbeiten Sie die keys-ipsec0 Datei auf beiden Workstations. Für eine ordentliche Verbindung müssen beide Schlüssel identisch sein .
Die /etc/racoon/racoon.conf Datei sollte identisch sein, bis auf das include "/etc/racoon/X.X.X.X.conf" Statement. Dieses Statement (und die Datei, auf die es sich bezieht) wird erstellt, wenn der IPsec-Tunnel aktiviert ist. Für Workstation A ist X.X.X.X im include Statement die IP Adresse von Workstation B. Das Gegenteil gilt für Workstation B. Im Folgenden sehen Sie eine typische racoon.conf Datei, wenn die IPsec Verbindung aktiviert ist.
# Racoon IKE daemon configuration file. # See 'man racoon.conf' for a description of the format and entries. path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; sainfo anonymous { pfs_group 2; lifetime time 1 hour ; encryption_algorithm 3des, blowfish 448, rijndael ; authentication_algorithm hmac_sha1, hmac_md5 ; compression_algorithm deflate ; } include "/etc/racoon/X.X.X.X.conf" |
Um die Verbindung zu starten, starten Sie entweder die Workstation neu oder führen Sie den folgenden Befehl als Root auf jedem Host aus:
/sbin/ifup ipsec0 |
Um die IPsec-Verbindung zu testen, führen Sie dietcpdump Utility aus. Sie können so die Netzwerk-Pakete sehen, die zwischen den Hosts (oder den Netzwerken) übermittelt werden, und außerdem nachprüfen, dass sie über IPsec verschlüsselt weren. Jedes Paket sollte eine AH-Kopfzeile einhalten und als ESP-Paket angezeigt werden. EHP bedeutet, dass es verschlüsselt ist. Zum Beispiel:
17:13:20.617872 pinky.example.com > ijin.example.com: \ AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF) |
Zurück | Zum Anfang | Nach vorne |
Installation von IPsec | Nach oben | Konfiguration von IPsec Netzwerk-zu-Netzwerk |