Linux Advanced Routing & Traffic Control HOWTO (Hubert, Graf) - страница 23

На первую страницу

Повторюсь еще раз: Политика Безопасности определяет — ЧТО следует предпринять в том или ином случае, а Контекст Безопасности (защищенный канал) определяет – КАК производить обмен данными. Автоматическое управление ключевой информацией позволяет нам избежать неприятностей только с определением "ЧТО предпринять".

7.2.2. Пример.

Kame racoon имеет достаточно неплохие настройки по-умолчанию, так что мы не будем их касаться. Как уже говорилось выше, мы должны определить только политику безопасности, оставив право на создание защищенных каналов за демоном IKE.

В этом примере, мы опять вернемся к нашим хостам 10.0.0.11 и 10.0.0.216, и еще раз попробуем установить защищенное соединение между ними, но на сей раз с помощью racoon. Для упрощения конфигурации будем использовать предопределенные ключи, сертификаты X.509 будут обсуждаться в отдельном разделе (см. раздел Автоматизация с использованием сертификатов X.509 ).

Мы будем придерживаться конфигурации, заданной практически по-умолчанию и идентичной для обоих хостов:

>path pre_shared_key "/usr/local/etc/racoon/psk.txt";


>remote anonymous

>{

> exchange_mode aggressive,main;

> doi ipsec_doi;

> situation identity_only;


> my_identifier address;


> lifetime time 2 min; # sec,min,hour

> initial_contact on;

> proposal_check obey; # obey – повиноваться, требованиям и ограничениям


> proposal {

>  encryption_algorithm 3des;

>  hash_algorithm sha1;

>  authentication_method pre_shared_key;

>  dh_group 2 ;

> }

>}


>sainfo anonymous {

> pfs_group 1;

> lifetime time 2 min;

> encryption_algorithm 3des ;

> authentication_algorithm hmac_sha1;

> compression_algorithm deflate ;

>}

Многие из параметров настройки, на мой взгляд, могут быть удалены, поскольку они достаточно близки к заданным по-умолчанию. Здесь приведены два анонимных параметра, которые применяются ко всем удаленным хостам, за счет чего достигается простота конфигурации. На данный момент пока нет особой потребности в создании настроек для каждого конкретного хоста.

Кроме того, в настройках задана самоидентификация на основе собственного IP-адреса (my_identifier address). Затем объявляются используемые алгоритмы шифрования — 3des и sha1 и указывается, что будут использоваться предопределенные ключи, расположенные в файле psk.txt.

Содержимое файлов psk.txt с ключами приводится ниже. Для разных хостов они различны. Для хоста 10.0.0.11:

>10.0.0.216 password2

Для хоста 10.0.0.216:

>10.0.0.11 password2

Назначте владельцем файла суперпользователя (root), и установите права доступа 0600, в противном случае racoon откажется доверять их содержимому.

Следующая страница