ipsec

Руководство по установке FreeBSD Wi-Fi IPsec DIV.padding3 { float:none !important;} РУС | ENG Блоги Личные блоги Блоги компаний Уязвимости Мнения Вирусы Новости Статьи Аналитика Конкурсы xploit Программы Форум NVD События Infosecurity Регистрация ЛогинЗабыли пароль? Пароль Руководство по установке FreeBSD Wi-Fi IPsec 25 марта, 2004 Тимоти Хам Реферат Было создано IPsec туннельное соединение между хостом MS-Windows с беспроводным Ethernet ipsec FreeBSD NAT шлюзом. Такая настройка позволяет мобильному хосту иметь защищенное ipsec зашифрованное соединение в незащищенной по своей сути радиосети. Введение Не так давно я купил комплект "Wireless Bundle" состоящий из беспроводного NAT маршрутизатора ipsec карты PCMCIA 802.11b. Будучи устройством, рассчитанным на непрофессионального потребителя, мне было достаточно просто его подключить ipsec настроить для работы с моей домашней сетью. Трудности начали возникать когда я попробовал защитить это соединение, а также при попытке защиты всей остальной части локальной сети от любого вида вторжений. Для меня был очевиден выбор IPsec по WEP. Поскольку WEP считается слабо защищенной (секретный ключ очень легко восстановить), моя PCMCIA карта имела встроенное программное обеспечение, которое отклоняло соединения при включенном WEP. Проблема была хорошо задокументирована, но производитель не выпустил никаких обновлений закрывающих эту "дыру". В Интернет я нашел несколько доступных ресурсов для настройки IPsec VPN, но в моем случае, ни один из них мне не подходил. Поэтому я хочу поделиться своим опытом ipsec надеюсь, что это будет полезно для других. Изолирование беспроводной сети Моя домашняя сеть имела следующую конфигурацию. Был установлен двухканальный шлюз с протоколом DHCPD для назначения приватных IP адресов любым компьютерам, подключенным к сети. Ко мне мог прийти гость и, подключив свой ноутбук к сети, свободно "бродить" по Интернету. В общем, вполне типичная конфигурация. Первым шагом было отделение беспроводной сети от остальной части моей домашней сети. Это можно сделать, установив еще одну сетевую карту ipsec назначив ей другой диапазон адресов. К примеру, существующая сеть использует диапазон 192.168.1.х, ipsec новая карта - 192.168.2.1. При правильной настройке брандмауэра ipsec IPsec, данный сегмент может быть изолирован от остальной части домашней сети. Поскольку мой беспроводной NAT маршрутизатор характеризовался как маршрутизатор/коммутатор, то его функции как маршрутизатора (DHPCD, NAT) должны были быть заблокированы. Для изменения настроек маршрутизатор имеет web-интерфейс. Я также дал название wi-fi сети. Маршрутизатор имел четыре Ethernet порта, обозначенных "LAN", ipsec один порт "WAN". Новая Ethernet плата (192.168.2.1) подключена к одному из "LAN" портов. Портативной ЭВМ был назначен постоянный IP адрес 192.168.2.10. Транспортный Режим против Туннельного Режима Эта часть смутила меня больше всего, т.к. большинство изданий (включая руководство по FreeBSD) описывают IPsec туннели в терминах VPN - т.е. два шлюза, соединяющие две подсети по безопасному туннелю, используя виртуальный интерфейс. Сначала я тоже думал, что это транспортный туннель, использующий сквозное шифрование пакетов. Но все оказалось не совсем так. Все пакеты между портативным компьютером (хостом) ipsec шлюзом (192.168.2.10 <-> 192.168.2.1) действительно были зашифрованы. Однако пакеты, посылаемые в остальную часть Интернет, не были зашифрованы. (192.168.2.10-> www.securitylab.ru). Но то, что хотел я, было зашифрованным туннелем между хостом ipsec шлюзом, которые отсылает пакеты от хоста до остальной части Интернет. Любой исходящий из хоста пакет (192.168.2.10-> www.securitylab.ru), должен быть зашифрован ipsec инкапсулирован в другом пакете, пересылаемом к шлюзу. При получении шлюзом этого пакета, он должен дешифровать его ipsec отправить на www.securitylab.ru. Возвращаемый пакет (www.securitylab.ru -> 192.168.2.10) должен быть зашифрован ipsec инкапсулирован шлюзом, ipsec затем переслан на хост. (192.168.2.1-> 192.168.2.10), после чего на хосте этот пакет дешифруется ipsec читается его содержимое. Настройка шлюза Ниже будет показано, как настраивается шлюз. A. Перекомпиляция ядра для поддержки IPsec происходит при добавлении следующих строк в файл конфигурации ядра: options IPSEC options IPSEC_ESP Проведите перекомпиляцию, переустановку и перезагрузите компьютер с новым ядром. Добавьте следующие строки в файл /etc/rc.conf: ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" B. Настройка защитной политики. Создайте файл /etc/ipsec.conf со следующим содержимым. В этом примере, 192.168.2.10 - хост, ipsec 192.168.2.1 - шлюз. flush; spdflush; spdadd 192.168.2.10/32 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.2.10-192.168.2.1/require; spdadd 0.0.0.0/0 192.168.2.10/32 any -P out ipsec esp/tunnel/192.168.2.1-192.168.2.10/require; Для применения защитной политики запустите 'setkey-f/etc/ipsec.conf. С. Установка ipsec конфигурирование Racoon. Racoon находится в /usr/ports/security/racoon. Проводим установку. После инсталляции, создайте /usr/local/etc/racoon/psk.txt. В этом файле перечислены секретные ключи для ваших хостов. Например: 192.168.2.10 SecretKey Желательно создавать секретные ключи трудные для подбора. В Интернете существуют различные ресурсы, посвященные этому вопросу. Теперь, необходимо создать файл /usr/local/etc/racoon/racoon.conf. Я скопировал файл racoon.conf.dist, после чего изменил ipsec модифицировал директиву "listen" ipsec значения "life time" в директивах "remote anonymous" ipsec "sainfo anonymous". Настройка Windows компьютеров Windows 2000 ipsec XP имеют достаточно много различных диалогов ipsec мастеров, но конечный результат их действия один ipsec тот же. Зайдите в меню "Start" ipsec и нажмите "RUN". Наберите mmc ipsec ^lt; ENTER> Выберите "Console" (или "File")-> Add/Remove Snap In. Выберите "Add" Выберите "IP Security Policy Management" ipsec нажмите "Add". Выберите "Local Computer", ipsec нажмите "Finish". Нажмите "Close" для закрытия диалога "Add standalone Snap-in". Выберите "ОК" для закрытия диалога Add/Remove Snap-in. Выполнив вышеописанные операции, мы добавили встроенную защитную политику. Теперь необходимо настроить wifi политику. Выберите "IP Security Policies" на "Local Machine", нажмите правую кнопку мыши ipsec выберите "Create IP Security Policy" Дайте название защитной политике (в нашем примере 'wifi'). Нажмите "Next". Снимите отметку с "Activate" ipsec нажмите "Next". Снимите выделение с "Edit Properties". Нажмите "Finish" Теперь наряду с "Client", "Secure Server" ipsec "Server" вы должны иметь политику "wifi". После, мы определим правила фильтрации: Нажмите правую кнопку мыши на вкладке "IP Security Policies" окна "Console Root" ipsec выберите "Manage IP filter lists and filter actions". Нажмите "Add" Назовите этот список фильтров "OutboundIPsec". После, нажмите "Add" Следуйте за "мастером", ipsec выберите значение "My IP Address" как "Source", "Any IP Address" как "destination address" ipsec выберите любой тип протокола. Проверьте окно "Edit Properties" ipsec снимите галочку с "mirrored". Теперь в списке OutboundIPsec должен быть один фильтр. Нажмите "Close". Добавьте второй список, ipsec назовите его InboundIPsec, повторяя вышеописанные шаги. На этот раз, добавьте фильтр с "Any IP Address" как "Source", a "My IP Address" как «destination adress». Теперь, для применения, созданных фильтров, мы создадим в политике следущее: Сделайте двойной щелчок мышью на “wifi” политике. Нажмите «add», чтобы добавить новые «IP Security Rules». Выберите переключатель "The tunnel endpoint is specified" ipsec введите шлюз (кроме, 192.168.2.1). Нажмите «Next». Выберите «LAN» ipsec нажмите «Next» Выберите "Use this string to protect the key exchange", ipsec введите секретную фразу. Нажмите «Next». Выберите созданный вами список фильтров "OutboundIPsec". Нажмите «Next». Выберите «Require Security». Нажмите «Next». Снимите выделение с "Edit properties". Нажмите "Next". Повторите все, описанные выше шаги, только введите хост (кроме, 192.168.2.10) в шаге 3, ipsec "InboundIPsec" списке фильтра в шаге 6. Все остальное то же самое. Теперь - все. Ниже я подведу итоги того, что мы сделали выше. "Console root" имеет подразделение, называемое "IP Sec Policies on Local Machine". "IP Sec Policies" должен иметь большое количество каталогов, один из которых называют "wifi". Двойное нажатие на "wifi", вызывает его свойства. В них должны быть два правила, оба из которых проверены и имеют следующие свойства: Property InboundIPsec OutboundIPsec ------------------------------------------------------------ Filter Action Require Security Require Security Authentication Preshared Key Preshared Key Tunnel Setting 192.168.2.10 192.168.2.1 Connection Type LAN LAN После установки, утилиты ping ipsec tracert работают прекрасно, под tcpdump все ping пакеты показываются зашифрованными, но при этом никакие сайты не доступны. Отключите встроенный "IP брандмауэр" в настройках TCP/IP для wifi интерфейса. В справочных файлах указывается, что он конфликтует с VPN туннелями. Команда ping возвращает значение "Negotiating IPsec" в течение нескольких секунд после сообщения "Request timed out." Продолжайте пингование с флагом -t. Тем временем, перезапустите службу IPsec политики. Я не уверен, по каким причинам это происходит, но может потребоваться от нескольких секунд до нескольких минут, прежде чем команда ping начнет нормально работать. Когда соединение некоторое время простаивает, то пропадает возможность соединения. Тоже самое, происходит ipsec при простое IPsec туннеля. И может понадобиться некоторое время, чтобы повторно соединиться (см. выше). Я не знаю способов вынудить туннель оставаться постоянно открытым, кроме постоянной пересылки сообщений через него. Это можно сделать при наличии открытого ssh сеанса или часто перезагружаемой web страницы. Выводы Теперь вы имеете безопасное wifi подключение между вашей портативной ЭВМ ipsec вашим шлюзом. Любой, пытающийся сниффить беспроводную точку доступа, увмдеи пакеты, идущие между хостом ipsec шлюзом ipsec от шлюза, только в зашифрованном виде. Я надеюсь, что данная статья оказалась полезной для Вас. (Нет голосов) Унипрок Трудногорючие (Г1,В1,Д1,Т1)декоративные панели Только зарегистрированные ipsec авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.Подписка на RSS TOP новости Торвальдс: особенности новой версии ядра Linux Новое ядро стало самым крупным из всех когда-либо выпускавшихся, например, один лишь патч для пользо ... просмотры: 5201, отзывы: 136 Алкснис требует ограничить ввоз в Россию продукции Microsoft В письме председателю правительства РФ Виктору Зубкову Алкснис просит поскорее решить на законодател ... просмотры: 6674, отзывы: 228 Microsoft выпустила Windows ХР SP3 В настоящее время пакет обновлений SP3 для Windows ХР поставляется только фирмам-изготовителям компл ... просмотры: 3588, отзывы: 52 Forrester: Необходимо как можно скорее переходить на Vista В отчете «Предприятия осваивают Windows Vista» приводится пять причин, по которым компан ... просмотры: 4474, отзывы: 96 Госдума приняла закон о лицензировании тиражирования ПО для ЭВМ ipsec баз данных Госдума встала на защиту производителей компьютерных программ от пиратства.Депутатами принята обновл ... просмотры: 4854, отзывы: 82 Yoggie Security Systems показала миниатюрный компьютер безопасности Linux-компьютер за $199 встроен в карту ExpressCard ipsec берет на себя решение всех задач по защите хоз ... просмотры: 1698, отзывы: 45 Генпрокуратура будет блокировать доступ к экстремистским сайтам Генпрокуратура предлагает ограничить доступ российских пользователей к сайтам экстремистского характ ... просмотры: 1211, отзывы: 47 Ученые предложили новый метод защиты от DDoS-атак Исследователи из Вашингтонского университета для защиты от DoS-атак предлагают ограждать серверы сво ... просмотры: 2630, отзывы: 36 Форум Регулярно ломают сайт Дата: 25 апреля, 2008 Автор: Viatcheslav Kasper не обнаруживает Вирус ?!?! Дата: 25 апреля, 2008 Автор: wer wer Лучший хакерский софт! Дата: 29 сентября, 2005 Автор: ControlC Разные route до одного IP Дата: 25 апреля, 2008 Автор: ziiz Подборка книг по программированию Дата: 18 марта, 2008 Автор: deposit Подписка Уведомления Новости сайта Утилиты Top News Вирусы Подписка на рассылки Работает на "1С-Битрикс: Управление сайтом" Реклама на сайте О проекте Контакты Copyright Экспорт статей RSS Мои параметры Карта сайта Информер История en разделы бак накопитель шелкография купить видеокарту персонализация карта thuraya автобетононасосы telecomfm gsmphone подбор холодильный камера штендеры скачать длинный нард sharp ar-m205 электрокардиограф ароматный мир сглаз 5440.16 (крышка) базовый шпатлевка перевод испанский вакуумный упаковочный доставка дров rittal микросреда компания обрезание доставка санкт ppg краска купить актуатор юр.адрес укрепление откос доставка кулеров заказать обед вино заказ вызов врач купить каболка изготовление презентация купить электрооткрывалку грунт стяжка купить раструб врач акушер гинеколог магнитный доска kiev apartments service этнический психология ожирение брусок алмазный проходить осмотр гинеколог ваттметр лад холодильник neff измеритель петля фаза нуль получение выписка егрп снос любой конструкция мурано светлогорск виниловый дирижабль тиристорный контактор инвертор рак щитовидный железа антенна радиочастотный квн shell трубогиб дорном raymond weil кислород басейны intex эфирный антенна kaasi ваза 2110 антигололедные реагент решетка protherm портативный радиостанция флажок настольный gislaved отзыв зубной боль поставка тройник нестандартный коробка certification microsoft охота 8800 gold edition дулевский фарфор купить 6131 тонирование авто гнб лучший ковры рассылка срезанный цвет сборщик долг стальной топкий spartherm полноцвет кружок красный площадь сегодня лечение щитовидный железа легранд тестоделитель телевизионный антенна время владимир слоеный изделие северский доломит пбоюл скс qtek прамышленый альпинизм фейрверк праздник магнитный доска вакансия красноярск аденома степ-аэробика нужен фотограф сушильный машина asko рефрижератор ром доставка теннисный ракетка 5004.14 (крышка) рефконтейнеры qtek ваза 2114 купить каболка культура танго защитный краска электросчетчик сэт газонокосилка dolmar ipsec