Методическое пособие. IPSec.

Задание 3

Создайте виртуальный канал в туннельном режиме между двумя рабочими станциями, используя одновременно шифрование и аутентификацию, в автоматическом режиме (демон racoon) с применением сертификатов X.509.

Перед выполнением задания студентам следует разбиться на пары. Все нижеописанные действия выполнять только в том, случае, если "напарник" уже готов приступить к следующему пункту (синхронно по пунктам). В конце работы есть глава "Примечания" - настоятельно рекомендуется заглядывать в неё во время выполнения заданий.

Обратите внимание на загружаемую ОС (загрузчик Lilo). Поддержка комплекта протоколов IPSec ядром Линукс с названием 269my.

Выполнять лабораторную работу предлагается в следующем порядке:

1. Cоздайте файл конфигурации ipsec.conf для setkey в домашней директории. Необходимо использовать опыт предыдущих заданий. Содержание файлов идентично на обоих хостах за исключением порядка следования политик безопасности.

2. Создайте сертификаты стандарта X.509.

2.1. Для хранения сертификатов и вашего закрытого ключа используйте временную папку, например, /tmp/yourname-tmp.

2.2. Изучите синтаксис утилиты openssl (man openssl), а именно, её команды genrsa и req.

2.3. Cогласуйте ключи, команды и создайте каждый на своей рабочей станции файл закрытого ключа с ее номером и файл запроса создания открытого ключа (сертификата) с помощью openssl req в домашней директории.

2.3.1. openssl req -newkey rsa:1024 -keyout [key.pem] -out [request.pem]. Таким образом генерируется закрытый ключ key.pem и запрос открытого ключа (сертификата) из закрытого ключа request.pem.

2.3.2. openssl x509 -req -in req.pem -signkey [key.pem] -out [cacert.pem]. Создание и подпись открытого ключа (сертификата).

**формат выходных файлов в командах желательно указывать PEM, имя и расширение файлов закрытого и открытого ключа можно формировать по собственному усмотрению, если не указывать метод аутентификации, то будет произведен запрос на ввод пароля для аутентификации для обеих команд.

***Есть еще несколько путей создания закрытого ключа и сертификата при помощи утилиты openssl, рекомендуется принять во внимание этот момент.

3.Обменяйтесь копиями ключей и поместите во вновь созданный каталог свой закрытый и публичный (сертификат) ключи, а также копию открытого ключа (сертификата) доверенной рабочей станции.

4. Задайте владельцем этих файлов пользователя и группу root и права доступа только для владельца: чтение, запись.В силу политик безопасности, действующих на аккаунтах обычных пользователей, стандартными методами (chown) изменить права не получится. Для этой цели написан скрипт startracoon. Помимо запуска демона racoon, он устанавливает владельца файла, передаваемого ему в качестве параметра, на необходимые нам. Следовательно, чтобы изменить владельца файла, нужно указать путь к файлу в качестве обязательного параметра к скрипту startracoon. Этот файл, кроме всего прочего, лучше менять права в директории /tmp/yourloginname-tmp, так как в противном случае, могут возникнуть трудности с его удалением.

5. Создайте файл конфигурации racoon.conf для racoon в домашней директории. Используйте знания. полученные в предыдущих работах. Параметры и их значения в файле racoon.conf можно посмотреть здесь.

5.1.Согласуйте друг с другом протоколы и алгоритмы для racoon.conf, файлы конфигурации идентичны на обоих хостах за исключением IP-адресов и ключей, за основу следует взять пример содержимого конфигурационного файла из man racoon.conf, обратите внимание на дополнительные параметры для работы с сертификатами, примите самостоятельное решение о необходимости их указания с соответствующими значениями, названия файлов ключей указывайте в кавычках.

6. Внесите записи из ipsec.conf в базу данных SPD, используя setkey и семантику ядра (соответствующий ключ).

7. Запустите демон racoon с помощью скрипта startracoon, передав в качестве обязательного параметра путь к конфигурационному файлу racoon.conf. *Владельцем racoon.conf должен быть root, а права доступа только для владельца: чтение, запись. Как это сделать. см. п.4.

8. Попеременно создайте соединение между хостами, используя на выбор telnet, ssh, sftp, либо ping, перехватите IP-пакеты, передаваемые между вашими рабочими станциями, используя tcpdump, которая при правильных конфигурациях отобразит только протокол ESP, индекс безопасности SPI и номер последовательности для пакета.

9. Продемонстрируйте результат преподавателю.

Примечания

1. Примечания предыдущих заданий также уместны;

2. В случае неудачного конфигурирования можно удалить свой частный и публичный (сертификат) ключи, а также копию публичного ключа (сертификата) доверенной рабочей станции, ipsec.conf и racoon.conf из соответствующих директорий и повторить последовательность действий заново,однако, это не получится, так как права на эти файлы принадлежат root'у :). Создайте в /tmp новый каталог с нужными файлами и повторите последовательность действий заново. Не забудьте в конфигурационных файлах исправить пути на новые.

"Методы и средства защиты информации". ПетрГУ, 2006.