racoon.conf:
//begin of file
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
remote anonymous
{
exchange_mode main;
lifetime time 24 hour;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 12 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
//End of file
path pre_shared_key "/usr/local/etc/racoon/psk.txt" (указываем путь
к файлу с предопределёнными ключами psk.txt).
path certificate "/tmp/certs".
remote. Указывает, что последующие строки файла конфигурации применяются
только к удалённому узлу, задаваемому по IP-адресу. В случае anonimous описанные
в секции параметры будут применены ко всем удаленным хостам, за счет чего достигается
простота конфигурации.
- exchange_mode aggressive. Режим проверки подлинности, снижающий накладные
расходы соединения и при этом позволяющий иметь разные IPsec-соединения с
множеством узлов.
- my_identifier asn1dn. Означает, что идентификатор сервера, отправляемый
удаленному хосту, будет взят из поля Subject сертификата.
- verify_identifier on. Проверять соответствие идентификатора удаленного
хоста и идентификатора, использующегося в поле ID payload.
- certificate_type x509 "cacert.pem" "key.pem".
Указание на тип и файлы сертификата и закрытого ключа сервера.
- ca_type x509 "public.pem". Указание на файл сертификата
клиента.
- generate_policy on. Автоматически создавать политику IPSec. Это делается
в случае, если у клиента динамический IP-адрес, который мы не знаем заранее,
и соответственно, не можем заранее установить нужную политику. **Дано для
общего развития - в работах использовать не стоит.
proposal. Эта секция хранит информацию необходимую в фазе 1.
- hash_algorithm sha1. Указывается алгоритм расчёта хэша, используемый
на первой фазе согласования между узлами. По умолчанию используется алгоритм
безопасного хэша (Secure Hash Algorithm) версии 1.
- authentication_method pre_shared_key. Определяет метод проверки подлинности,
используемый при согласовании узлов.
- dh_group 2. Указывается номер группы Диффи-Хелмана для выбора динамически
создаваемых ключей сеанса. По умолчанию используется группа из 1024 бит.
sainfo anonymous. Отмечает, что SA может автоматически инициализировать соединение
с любым партнёром при совпадении учётных сведений IPsec.
- pfs_group 2. Определяет протокол обмена ключами Диффи-Хелмана, задающий
алгоритм, по которому узлы IPsec устанавливают общий временный ключ сеанса
для второй фазы соединения IPsec.Для группы 2 применяется степенная функция
по модулю 1024-бит, что предотвращает расшифровывание взломщиками предыдущих
сеансов IPsec, даже если закрытый ключ скомпрометирован.
- lifetime time 12 hour. Этот параметр задаёт срок жизни SA и может
быть определяться временем или объёмом данных в байтах.
- encryption_algorithm 3des, blowfish 448, rijndael. Указываются поддерживаемые
алгоритмы шифрования для фазы 2.
- authentication_algorithm hmac_sha1, hmac_md5. Перечисляются поддерживаемые
алгоритмы хэша для проверке подлинности. Поддерживаются режимы sha1 и md5
хэшированных кодов проверки подлинности сообщения (Hashed Message Authentication
Codes, HMAC).
- compression_algorithm deflate. Определяет алгоритм сжатия Deflate
для поддержки сжатия IP-заголовков (IP Payload Compression, IPCOMP), что может
увеличить скорость передачи IP-датаграм по медленным соединениям.
"Методы и средства защиты информации". ПетрГУ, 2006.