Типичный пример назначения политики безопасности:
>spdadd 10.0.0.216 10.0.0.11 any –P out ipsec
> esp/transport//require
> ah/transport//require;
Применительно к хосту 10.0.0.216, это означает, что весь трафик, отправляемый хосту 10.0.0.11 должен быть зашифрован и "обернут" протоколом AH, подтверждающим подлинность. Обратите внимание, этот пример не описывает, какой из имеющихся каналов (SA) должен использоваться, это означает, что право выбора оставляется за ядром.
Другими словами, Политика Безопасности описывает ЧТО следует предпринять в том или ином случае, а защищенный канал (SA) – КАК получить данные.
Исходящие пакеты "подписываются" соответствующим SPI (КАК). Ядро использует его для нужд шифрования и аутентификации так, чтобы удаленный хост мог выполнить необходимые проверки и дешифрацию.
Ниже следует пример простой конфигурации, обеспечивающей передачу данных от 10.0.0.216 к 10.0.0.11 с аутентификацией, в зашифрованном виде. Обратите внимание на то, что в обратном направлении данные передаются в открытом виде. Это лишь первая версия примера и она не должна рассматриваться вами как пригодная к употреблению.
Для хоста 10.0.0.216:
>#!/sbin/setkey –f
>add 10.0.0.216 10.0.0.11 ah 24500 –A hmac-md5 "1234567890123456";
>add 10.0.0.216 10.0.0.11 esp 24501 –E 3des-cbc "123456789012123456789012";
>spdadd 10.0.0.216 10.0.0.11 any –P out ipsec
> esp/transport//require
> ah/transport//require;
Для хоста 10.0.0.11, те же самые SA, но без политики безопасности:
>#!/sbin/setkey –f
>add 10.0.0.216 10.0.0.11 ah 24500 –A hmac-md5 "1234567890123456";
>add 10.0.0.216 10.0.0.11 esp 24501 –E 3des-cbc "123456789012123456789012";
В этой конфигурации попробуем дать команду ping 10.0.0.11 с хоста 10.0.0.216. В результате получим такой вывод от tcpdump:
>22:37:52 10.0.0.216 > 10.0.0.11: AH(spi=0x00005fb4,seq=0xa): ESP(spi=0x00005fb5,seq=0xa) (DF)
>22:37:52 10.0.0.11 > 10.0.0.216: icmp: echo reply
Обратите внимание на то, как возвращается ответ на запрос – он передается в открытом виде. В то время как сам запрос не распознается утилитой tcpdump, но зато она показывает SPI для AH и ESP, которые инструктируют хост 10.0.0.11, КАК выполнить проверку подлинности и дешифровать данные.
Следует сделать несколько замечаний по поводу этих примеров. Такая конфигурация не обеспечивает достаточный уровень безопасности. Проблема состоит в том, что политика безопасности описывает только — ЧТО должен сделать хост 10.0.0.216 при передаче данных хосту 10.0.0.11 и КАК их передать, а для хоста 10.0.0.11 описывается КАК он может получить эти данные, но нет правил, описывающих ЧТО он должен предпринять при получении нешифрованных пакетов, идущих от 10.0.0.216!