Linux Advanced Routing & Traffic Control HOWTO (Hubert, Graf) - страница 21

Таким образом, если злоумышленник будет в состоянии выполнить "подмену" (spoofing) IP-адреса, то он сможет отправлять незашифрованные данные хосту 10.0.0.11, который примет их! Для устранения этой проблемы нужно прописать политику безопасности для хоста 10.0.0.11:

>#!/sbin/setkey –f

>spdadd 10.0.0.216 10.0.0.11 any –P IN ipsec

>   esp/transport//require

>   ah/transport//require;

Это описание сообщает хосту 10.0.0.11, что весь входящий трафик от хоста 10.0.0.216 должен иметь подтверждение подлинности (AH) и должен быть зашифрован (ESP).

Ниже приводится полная конфигурация сетевых узлов 10.0.0.11 и 10.0.0.216, для двустороннего обмена данными. Полная конфигурация для хоста 10.0.0.216:

>#!/sbin/setkey –f

>flush;

>spdflush;

># AH

>add 10.0.0.11 10.0.0.216 ah 15700 –A hmac-md5 "1234567890123456";

>add 10.0.0.216 10.0.0.11 ah 24500 –A hmac-md5 "1234567890123456";

># ESP

>add 10.0.0.11 10.0.0.216 esp 15701 –E 3des-cbc "123456789012123456789012";

>add 10.0.0.216 10.0.0.11 esp 24501 –E 3des-cbc "123456789012123456789012";

>spdadd 10.0.0.216 10.0.0.11 any –P out ipsec

>   esp/transport//require

>   ah/transport//require;

>spdadd 10.0.0.11 10.0.0.216 any –P in ipsec

>   esp/transport//require

>   ah/transport//require;

И для 10.0.0.11:

>#!/sbin/setkey –f

>flush;

>spdflush;

># AH

>add 10.0.0.11 10.0.0.216 ah 15700 –A hmac-md5 "1234567890123456";

>add 10.0.0.216 10.0.0.11 ah 24500 –A hmac-md5 "1234567890123456";

># ESP

>add 10.0.0.11 10.0.0.216 esp 15701 –E 3des-cbc "123456789012123456789012";

>add 10.0.0.216 10.0.0.11 esp 24501 –E 3des-cbc "123456789012123456789012";

>spdadd 10.0.0.11 10.0.0.216 any –P out ipsec

>   esp/transport//require

>   ah/transport//require;

>spdadd 10.0.0.216 10.0.0.11 any –P in ipsec

>   esp/transport//require

>   ah/transport//require;

Обратите внимание — в этом примере использованы идентичные ключи шифрования для обоих направлений. Однако, это не является обязательным требованием.

Чтобы проверить только что созданную конфигурацию, достаточно дать команду setkey –D, которая выведет перечень контекстов защиты (виртуальных защищенных каналов) или setkey –DP, которая отобразит сконфигурированные политики безопасности.