|
Задание 2
- psk.txt - файл предварительного ключа.
- ipsec.conf - конфигурационный файл утилиты setkey.
- racoon.conf - конфигурационный файл демона racoon.
Создайте виртуальный канал в туннельном режиме между двумя рабочими станциями, используя одновременно шифрование и аутентификацию:
Перед выполнением задания студентам следует разбиться на пары. Все нижеописанные действия выполнять только в том, случае, если "напарник" уже готов приступить к следующему пункту (синхронно по пунктам). В конце работы есть раздел "Примечания" - настоятельно рекомендуется заглядывать в него во время выполнения заданий.
Обратите внимание на загружаемую ОС (загрузчик Lilo). Поддержка комплекта протоколов IPSec ядром Линукс с названием 269my.
Выполнять лабораторную работу предлагается в следующем порядке:
а) Виртуальный канал в туннельном режиме между двумя рабочими станциями, используя одновременно шифрование и аутентификацию с ручным конфигурированием посредством утилиты setkey.
Алгоритм заполнения файла ipsec.conf практически такой же, как и в первом задании. Необходимо уделить внимание параметрам отвечающим за выбор протокола AH и ESP.
1. Cоздайте файл конфигурации ipsec.conf для setkey в домашней директории. Используйте пример файла из первого задания.
2. Для указания верных параметров команд add и spdadd конфигурационного файла ipsec.conf согласуйте друг с другом протоколы, индексы безопасности SPI, алгоритмы, ключи.
3. Внесите записи из ipsec.conf в базы данных SAD и SPD, используя setkey и семантику ядра (setkey -k ~/ipsec.conf -f ).
4. Попеременно создайте соединение между хостами, используя на выбор telnet, ssh, sftp, либо ping, перехватите IP-пакеты, передаваемые между вашими рабочими станциями, используя tcpdump, которая при правильных конфигурациях IPSec отобразит только протокол AH или ESP, индекс безопасности SPI и номер последовательности для пакета.
5. Попробуйте установить соединение между рабочей станцией из пары и любой другой, при корректных политиках безопасности результат будет негативным.
6. Продемонстрируйте результат преподавателю.
б) Создайте виртуальный канал в туннельном режиме между двумя рабочими станциями, используя одновременно шифрование и аутентификацию в автоматическом режиме (демон racoon) с предопределенными ключами.
Для успешного выполнения работы надо правильно заполнить 3 файла: psk.txt, ipsec.conf, racoon.conf.
1. Используя знания, полученные в ходе выполнения предыдущих работ, создайте файл ipsec.conf в домашней директории. Добавьте в него записи, необходимые для создания соответствующих политик безопасности SP для IPSec и политик безопасности SP для фильтрации остального трафика, записи идентичны на обоих хостах за исключением порядка следования политик безопасности.
2. Изучите комплектную документацию демона racoon (команда man racoon.conf в bash), структуру и команды файла racoon.conf. Стоит также уделить внимание приведённым там примерам. Создайте файл racoon.conf в домашней директории.
2.1. Пример файла racoon.conf и описание его параметров смотри здесь.
2.2. Согласуйте друг с другом протоколы и алгоритмы для racoon.conf, файлы конфигурации идентичны на обоих хостах за исключением IP-адресов. Обратите внимание на дополнительные параметры my_identifier, initial_contact, proposal_check , примите самостоятельное решение о необходимости их указания с соответствующими значениями;
3. Cоздайте файл предварительного ключа psk.txt в домашней директории, затем согласуйте и внесите в него параметры аутентификации (IP-адрес и ключ, число пробелов также имеет значение), содержимое идентично за исключением IP-адресов, пример содержимого приведен в документации racoon (команда man racoon.conf в bash).
4. Задайте владельцем psk.txt пользователя и группу root и права доступа только для владельца: чтение, запись. В силу политик безопасности, действующих на аккаунтах обычных пользователей, стандартными методами (chown) изменить права не получится. Для этой цели написан скрипт startracoon. Помимо запуска демона racoon, он устанавливает владельца файла, передаваемого ему в качестве параметра, на необходимые нам. Следовательно, чтобы изменить владельца файла, нужно указать путь к файлу в качестве обязательного параметра к скрипту startracoon. Этот файл, кроме всего прочего, лучше менять права(оставляя за собой возможность редактировать его) в директории /tmp, так как в противном случае, могут возникнуть трудности с его удалением.
5. Внесите записи из ipsec.conf в базу данных SPD, используя setkey и семантику ядра (соответствующий ключ), а также опыт первого задания.
6. Запустите демон racoon с помощью скрипта startracoon, передав в качестве обязательного параметра путь к конфигурационному файлу racoon.conf. *Владельцем racoon.conf должен быть root, а права доступа только для владельца: чтение, запись. Как это сделать. см. п.4.
7. Попеременно создайте соединение между хостами, используя на выбор telnet, ssh, sftp, либо ping, перехватите IP-пакеты, передаваемые между вашими рабочими станциями, используя tcpdump, которая при правильных конфигурациях отобразит только протокол AH или ESP, индекс безопасности SPI и номер последовательности для пакета.
8. Продемонстрируйте результат преподавателю.
Примечания
1. Примечания предыдущего задания также уместны.
2. Параметр log debug в файле racoon.conf расширит логи служебной информации в стандартном выводе.
3. Выбор протокола (AH или ESP) производится указанием его параметром команд ADD, SPDADD.
4. Порядок следования политик безопасности очень важен.
5. Записи в файле конфигурации ipsec.conf для setkey, необходимые для создания соответствующих политик безопасности SP для IPSec и политик безопасности SP для фильтрации остального трафика будут идентичны как при ручном, так и при автоматическом конфигурировании.
6. В случае неудачного конфигурирования можно удалить файлы psk.txt и racoon.conf из соответствующих директорий и повторить последовательность действий заново. Если удалить файлы не удаётся, то создайте файлы с таким же содержанием, но с другим именем.
7. Особенностью функционирования демонов racoon является то, что при первичной попытке установления соединения между рабочими станциями оно будет неудачно, но послужит сигналом для инициирования переговоров, результатом которых служат установившиеся ассоциации безопасности IPSec-SA established, вторичная попытка создать соединение будет удачной.
"Методы и средства защиты информации".
ПетрГУ, 2006.