🌀 🧙🏼 👦🏾 लिनक्स के साथ मुश्किल IPSec 🧑‍🤝‍🧑 👨🏻‍🎓 👩🏾‍🤝‍👨🏻

आईटी इन्फ्रास्ट्रक्चर विकसित करना, जल्दी या बाद में, कार्य एक बड़े संगठन की किसी भी सेवा के साथ एकीकृत करने के लिए आता है। उदाहरण के लिए, यह बैंक या टेलीकॉम ऑपरेटर हो सकता है। एक नियम के रूप में, बड़े संगठनों के पास अच्छी तरह से स्थापित सूचना सुरक्षा नीतियां हैं, जो विशेष रूप से एन्क्रिप्टेड चैनलों के माध्यम से बाहरी के साथ एक सेवा के कार्यान्वयन की आवश्यकता होती है - IPSec। इसी समय, छोटे ~~स्टार्टअप~~ संगठनों में ऐसी योजनाओं को व्यवस्थित करने का कोई अनुभव नहीं है, और उपकरण से बोर्ड पर केवल लिनक्स के साथ वीडीएस है। इसके अलावा, मेरे आश्चर्य के लिए, रनसेट में व्यावहारिक रूप से कोई सामग्री नहीं है जो लिनक्स समस्या निवारण उपकरण का वर्णन करता है। आइए इस अंतर को खत्म करने की कोशिश करें और सेटिंग्स के व्यावहारिक हिस्से का वर्णन करें।

सेवा की सामान्य योजना नीचे प्रस्तुत की गई है। एक नियम के रूप में, बड़े संगठनों में सब कुछ पहले से ही मानकीकृत है, स्ट्रीम पर रखा जाता है, सभी प्रकार के संभावित एन्क्रिप्शन और अन्य नेटवर्क टुकड़े अलग-अलग उपकरणों (tsiska-junipers और उनके जैसे अन्य) पर किए जाते हैं, और, अधिक महत्वपूर्ण बात, व्यक्तियों द्वारा (शायद नीचे दिए गए आरेख में नीले बॉक्स) अलग-अलग लोगों द्वारा सेवा की गई)। आपके पास एक वर्चुअल मशीन है जिसके साथ सेवा शुरू की जाएगी और IPSec का आयोजन किया जाएगा।

कृपया ध्यान दें कि IPSec स्वयं एक आईपी पते (मेरे उदाहरण में 10.0.255.1 <-> 10.0.1.1 ) के बीच आयोजित किया जाता है, और सेवा स्वयं दूसरों ( 192.168.255.1<-> 192.168.1.1 ) के बीच आयोजित की जाती है। ऐसी योजनाओं को IPSec Network-Network भी कहा जाता है।

एक सरल उदाहरण यह है कि आप एक युवा लेकिन बहुत महत्वाकांक्षी कंपनी सुपरस्वाइस में काम करते हैं, और आपको मेगाटेलकॉम के बंद एपीआई के साथ सहभागिता को व्यवस्थित करने की आवश्यकता है। आपका इन्फ्रास्ट्रक्चर एक VDS सर्वर है, आपका पार्टनर इन्फ्रास्ट्रक्चर नेटवर्क और सर्वर उपकरणों का एक समूह है। कार्य दो चरणों में विभाजित है:

ट्रांसपोर्ट को व्यवस्थित करने के लिए (इंटरकवर कैसे होगा)।
सेवा को कॉन्फ़िगर करें (सर्वर पर सीधे एप्लिकेशन चलाएँ)।

इसलिए, SuperService प्रबंधक ने एक व्यापार समस्या को हल करने के लिए कुछ बड़े संगठन के लिए एक कनेक्शन आयोजित करने का निर्णय लिया। उन्होंने मेगाटेलकॉम की ओर रुख किया, जिससे उन्होंने उन्हें कनेक्शन के लिए तकनीकी विनिर्देश भेजे। इन शर्तों में से एक IPSec है । यह स्थिति एक एक्सल प्लेट के रूप में सामने आई, जिसका एक उदाहरण मैंने नीचे प्रस्तुत किया है। तस्वीर में, मैंने पीले रंग में तकनीकी रूप से महत्वपूर्ण मापदंडों पर प्रकाश डाला। प्रारूप भिन्न हो सकता है, लेकिन सार समान रहता है।

प्रारंभ में, यह आपके हिस्से पर अधूरा आता है, इसे भरना होगा और साथी को अनुमोदन के लिए भेजा जाना चाहिए। सहमत होने के बाद, आप बैठ सकते हैं और अपने लिनक्स मशीन को ट्यून करने का प्रयास कर सकते हैं।

IPSec अवधारणा

आगे, मैं उन लोगों के लिए एक छोटा सिद्धांत दूंगा जो प्रौद्योगिकी से परिचित नहीं हैं। आगे मैं जो भी वर्णन करूंगा वह सभी शुद्ध ईथरनेट और IPv4 को दर्शाता है। मैं एन्क्रिप्शन, प्रमुख एक्सचेंज एल्गोरिदम में नहीं जाऊंगा, बल्कि नेटवर्क भाग पर ध्यान केंद्रित करूंगा।

IPSec - सुरक्षित कनेक्शन के आयोजन के लिए तकनीकों और प्रोटोकॉल का एक सेट।

अन्य टनलिंग प्रौद्योगिकियों (GRE, PPP, L2TP, यहां तक कि MPLS-TE) के विपरीत, IPSec के लिए कोई स्पष्ट सुरंग इंटरफेस नहीं बनाया गया है जिसके माध्यम से यातायात को रूट किया जा सके। इसके बजाय, IPSec तथाकथित सुरक्षा आबंटन (SA) की अवधारणा प्रदान करता है। एसए एक नेटवर्क डिवाइस से दूसरे में सुरंग है। लेकिन यह मत भूलो कि एसए शब्द के सामान्य अर्थ में एक नेटवर्क इंटरफ़ेस नहीं है, यहां शास्त्रीय रूटिंग काम नहीं करता है। राउटिंग टेबल के बजाय, सुरक्षा नीति (एसपी) अवधारणा यहां काम करती है। हम स्पष्ट रूप से एक विशिष्ट SA के माध्यम से ट्रैफ़िक पास करने के लिए एक्सेस लिस्ट (ACL) की तरह कुछ लिखते हैं। ये सभी चीजें तथाकथित ISAKMP ढांचे में परिभाषित हैं।

ISAKMP - IPSec प्रक्रियाओं का वर्णन, साहित्य में वे इसे एक रूपरेखा कहते हैं। इसमें SA, SP, SAD (सिक्योरिटी असोथेशन डेटाबेस), SPD (सिक्योरिटी पॉलिसी डेटाबेस), सहायक सुरंगों को स्थापित करने की आवश्यकता का वर्णन किया गया है ... ISAKMP को डिज़ाइन किया गया है ताकि टनलिंग तकनीक, प्रमाणीकरण एल्गोरिदम और एन्क्रिप्शन पर निर्भर न रहें। वह केवल आवश्यक परिभाषाओं का परिचय देता है।

IKE (v1 / 2) - सीधे प्रमाणीकरण प्रोटोकॉल। वह पहले से ही प्रमुख एक्सचेंज एल्गोरिदम और उनके आवेदन को लागू करता है।

सिस्को अवधारणा के लिए धन्यवाद, ISAKMP और IKE को अब पर्यायवाची माना जाता है।

ट्रैफ़िक एन्क्रिप्ट करने से पहले, पार्टियों को इस एन्क्रिप्शन के मापदंडों (और कुंजियों) पर सहमत होना चाहिए। ऐसा करने के लिए, एक सहायक सुरंग दोनों पक्षों के बीच उगती है (इसे ISAKMP सुरंग भी कहा जाता है), जो हर समय चलती है। यह द्विदिश सुरंग एक यूडीपी कनेक्शन है (डिफ़ॉल्ट रूप से पोर्ट 500 पर)। इस सहायक सुरंग को व्यवस्थित करने के लिए, दलों को एक दूसरे को प्रमाणित करना चाहिए (पासवर्ड का मिलान होना चाहिए)। यह IKEv1 / 2 (इंटरनेट की एक्सचेंज) प्रोटोकॉल द्वारा किया जाता है। और पहले से ही ISAKMP संगठित सुरंग पर, पार्टियां सीधे उपयोगकर्ता ट्रैफ़िक को एन्क्रिप्ट करने के लिए सहमत हैं।

IPSec संगठन स्वयं दो चरणों में विभाजित है:

ISAKMP सहायक सुरंग बनाना
उपयोगकर्ता डेटा सुरंग बनाना

जैसा कि मैंने लिखा है, IPSec अवधारणा में (या बल्कि ISAKMP अवधारणा में) सुरंगों को SA कहा जाता है।

पहले चरण (ISAKMP SA संगठन) को दो मोड में किया जा सकता है:

मुख्य - पक्ष बारी-बारी से बातचीत के मापदंडों का आदान-प्रदान करते हैं। इसे सुरक्षित माना जाता है, इसका उपयोग स्थायी चैनलों (हमारे मामले) के लिए किया जाता है।
आक्रामक - एक संदेश में, सर्जक सभी आवश्यक समन्वय मापदंडों को भेजता है, इसका उपयोग एक अस्थायी उपयोगकर्ता को अस्थायी सत्र के लिए कनेक्ट करते समय (इसे तेज करने के लिए) किया जाता है।

आपको यह समझना चाहिए कि मुख्य SA सुरंगें अप्रत्यक्ष हैं । IPSec चैनल पर दो-तरफ़ा डेटा ट्रांसमिशन के लिए, दो सुरंगें होनी चाहिए: स्रोत (src) → रिसीवर (dst) और इसके विपरीत।

सभी एन्क्रिप्शन विधियों में, मूल आईपी पैकेट में अतिरिक्त हेडर जोड़े जाते हैं, इनकैप्सुलेशन होता है। इस एनकैप्सुलेशन के लिए दो तरीके हैं - AH (ऑथेंटिकेशन हैडर) और ESP (एनकैप्सुलेशन सिक्योरिटी पेलोड) । AH केवल पैकेट को प्रमाणित करता है (डिजिटल रूप से प्रेषक द्वारा हस्ताक्षरित), ESP और प्रमाणीकरण (संकेत), और एनक्रिप्ट। आज, एएच लगभग कभी भी उपयोग नहीं किया जाता है, सब कुछ ईएसपी में पैक किया जाता है।

आप आईपी हेडर (ट्रांसपोर्ट मोड) या इसके साथ (सुरंग मोड) को ध्यान में रखे बिना स्रोत आईपी पैकेट को एन्क्रिप्ट और प्रमाणित कर सकते हैं। परिवहन का उपयोग तब किया जाता है जब इसे अन्य प्रौद्योगिकियों (IPSec / ESP) का उपयोग करके अपनी सुरंगों को व्यवस्थित करने की योजना बनाई जाती है। उदाहरण के लिए, जीआरई, एल 2 टीपी, पीपीपी। किसी सेवा को किसी बड़े संगठन के आंतरिक बुनियादी ढांचे से जोड़ने के उद्देश्य से, इसका व्यावहारिक रूप से उपयोग नहीं किया जाता है। मैंने इस परिदृश्य का उपयोग IPSec के माध्यम से कई कार्यालयों को एक वीपीएन में संयोजित करने के लिए किया। हम सुरंग मोड में अधिक रुचि रखते हैं। जैसा कि आप तस्वीर से देख सकते हैं, एक अतिरिक्त आईपी हेडर यहां जोड़ा गया है।

वैसे, एएच एनकैप्सुलेशन का उपयोग करने का एक वास्तविक उदाहरण है। मान लीजिए कि हमारे पास अलग-अलग राउटर से जुड़े दो नेटवर्क हैं। होस्ट को विखंडन के बिना 1500 बाइट के MTU के साथ जानकारी प्रसारित करनी चाहिए, लेकिन हमारे पास एक मध्यवर्ती खंड है जो केवल 1380 बाइट्स का समर्थन करता है। पूरा ट्रैक विश्वसनीय है। हम इस तथ्य का लाभ उठा सकते हैं कि IPSec शास्त्रीय अर्थों में सुरंग इंटरफेस नहीं बनाता है, जिसके माध्यम से यातायात को रूट नहीं किया जाता है। हम AH प्रकार की सुरंग SA बनाएंगे (हमें एन्क्रिप्ट करने की आवश्यकता नहीं है), फिर ट्रैफ़िक उस पर जाएगा। केवल बाहरी आईपी पैकेट (बाहरी आईपी हेडर के अनुसार) यातायात में खंडित हो जाएंगे, आंतरिक लोगों को बिना बदलाव के पुन: प्राप्त किया जाएगा।

ध्यान दें कि ESP हेडर टीसीपी / यूडीपी परिवहन से पहले उगता है। याद रखें कि आईपी फ़ील्ड में एक प्रोटोकॉल फ़ील्ड है? इस क्षेत्र के आधार पर, नेटवर्क उपकरण (और अंत मेजबान) सही ढंग से आईपी पैकेट की प्रक्रिया करते हैं। इसलिए ईएसपी के लिए इसकी संख्या 50 है। इस क्षेत्र के लिए प्रोटोकॉल की एक पूरी सूची विकि पर देखी जा सकती है, यह बहुत उपयोगी हो सकती है।

ट्रांसपोर्ट लेयर हेडर की अनुपस्थिति (टीसीपी / यूडीपी / आईसीएमपी पहले से ही एन्क्रिप्टेड है!) एनएटी जैसी तकनीकों पर एक सीमा का प्रस्ताव करता है। याद रखें, नैट पोर्ट ट्रांसलेशन (ओवरलोड, पैट, MASQARADE, इसके कई नाम हैं) ट्रांसपोर्ट प्रोटोकॉल पोर्ट के आधार पर काम करता है। और एन्क्रिप्टेड IPSec सुरंग में वे नहीं हैं! इस समस्या को दूर करने के लिए, IPSec NAT-Traversal (NAT-T) जैसी एक तकनीक है। पहले चरण के दौरान, पार्टियां NAT-T के उपयोग पर सहमत हैं। यदि दोनों पक्ष NAT-T (और यहां तक कि समान UDP पोर्ट पर) का समर्थन करते हैं, तो UDP शीर्षलेख को ट्रैफ़िक के लिए परिणामी सुरंगों में जोड़ा जाता है, जिसके साथ पैकेट पहले ही नेटवर्क एड्रेस ट्रांसलेशन वाले राउटर से गुजर जाएंगे।

सुरंग खुद नहीं उठेगी, आपको वहां यातायात को निर्देशित करने की आवश्यकता है। जैसा कि मैंने ऊपर लिखा है, रूटिंग नियम यहां काम नहीं करते हैं, आपको सुरक्षा नीतियां (एसपी) लिखने की आवश्यकता है।

नीतियां स्रोत पते, गंतव्य पते, दिशा (में, बाहर, fwd) और उपयोगकर्ता सुरंग मापदंडों से मिलकर बनती हैं (यहां ESP का वर्णन केवल यह किया जाएगा कि क्या यह AH, सुरंग संस्करण या परिवहन होगा)। यह NAT के लिए नियमों को व्यवस्थित करने जैसा अधिक है। NAT में पर्याप्त राउटिंग टेबल प्रविष्टियाँ भी नहीं हैं। और वहां भी, नियमों को इंगित किया जाता है कि कहां, कहां और कैसे , और कहां और किस माध्यम से नहीं । और गलत हाथ आंदोलन के साथ भी आप दूरस्थ सर्वर पर सभी संचार को अवरुद्ध कर सकते हैं।

सभी IPSec जोड़तोड़ ओवरहेड हेडर जोड़ते हैं। कम से कम वे मूल पैकेट से एक और 40 बाइट खाएंगे। इस प्रकार, उदाहरण के लिए, कनेक्शन के 1380 बाइट्स के पीपीपीओई के लिए एक मानक एमटीयू के साथ, वास्तविक एमटीयू <1340 होगा।

लिनक्स पर IPSec

डीईबी वितरण के उदाहरण का उपयोग करने का अभ्यास करते हैं। मैं केवल पूर्व-साझा-कुंजी (PSK) के आधार पर प्राधिकरण के साथ मामले पर विचार करूंगा, हम लेख की शुरुआत से योजना को कॉन्फ़िगर करेंगे।

IPSec खुद कर्नेल द्वारा समर्थित है, लेकिन यह समर्थन बहुत सीमित है। वास्तव में, जोरदार मॉड्यूल केवल एन्क्रिप्शन और कुंजी (पैकेट प्रसंस्करण) से संबंधित हैं जो पहले ही प्राप्त हो चुके हैं (गिरी में स्थानांतरित)। और वहाँ के मापदंडों और नियमों को पारित करने के लिए जिसके साथ आपको ट्रैफ़िक संसाधित करने की आवश्यकता है, आपको अलग सॉफ़्टवेयर की आवश्यकता है। इस तरह के सॉफ्टवेयर के रूप में, कई समाधान हैं:

KAME BSD से माइग्रेट हुआ
XSWAN (स्ट्रॉंग्सवान, फ़्रेस्वान, लाइब्रेस्वान, आदि)
shorewall

यह मुझे KAME का सबसे सरल (सबसे अधिक पूर्वानुमान योग्य) संस्करण लगा, और हम इसे ट्विस्ट करना जारी रखेंगे।

 # deb-       root@localhost: ~# apt-get install racoon ipsec-tools

परंपरागत रूप से, KAME में दो घटक शामिल थे

ISAKMP सुरंग को नियंत्रित करने के लिए दौड़ोन डेमॉन ।
डेटा के साथ SA सुरंगों के प्रबंधन के लिए सेटकी उपयोगिताओं।

पहले एक के साथ शुरू करते हैं। राकून IKE के तहत सुरंग प्राधिकरण सेटिंग्स के लिए जिम्मेदार है। यह एक डेमॉन है, इसे एक कॉन्फ़िगरेशन फ़ाइल ( /etc/racoon.conf ) के साथ कॉन्फ़िगर किया गया है, यह एक नियमित init स्क्रिप्ट ( /etc/init.d/racoon <start|stop|restart> ) द्वारा लॉन्च किया गया है।

root @ localhost: ~ # cat /etc/racoon.conf

 #      remote  sainfo     # #      PSK  path pre_shared_key "/etc/racoon/psk.txt"; log debug; listen { #  ,      ISAKMP  isakmp 10.0.1.1 [500]; strict_address; } #   remote      IPSec. #      tunnel-group  ASA. #   IP-   anonymous #          . #     user-network # remote anonymous remote 10.0.255.1 { nat_traversal off; exchange_mode main; my_identifier address 10.0.1.1; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; lifetime time 86400 sec; } } #   IPSec.  transform-set  ASA. # # ,      #       . #         # sainfo address <src> address <dst> #      ,       # sainfo anonymous sainfo address 192.168.1.1 any address 192.168.255.1 any { pfs_group modp1024; lifetime time 28800 sec; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; }

root @ localhost: ~ # cat /etc/racoon/psk.txt

 #   PSK- #  <REMOTE IP ADDR> <PASSWORD> #  -      ,     racoon 10.0.255.1 SUPERPASSWORD

हमेशा की तरह, man 5 racoon.conf में विवरण man 5 racoon.conf

अगला, हम सेटकी उपयोगिता को लेंगे । यह एक डेमन ( /etc/init.d/setkey <start|stop|restart> ) के रूप में भी शुरू होता है, लेकिन वास्तव में यह स्क्रिप्ट /etc/ipsec-tools.conf चलाता है। जैसा कि मैंने कहा, यह पहले से ही उपयोगकर्ता यातायात के लिए सुरंग बनाता है। उनके लिए SA और SP को समान रूप से सेट करता है। यह एएसए पर क्रिप्टो-मैप जैसा कुछ है। हमारे लिए सबसे आसान विकल्प सिर्फ एसपी जोड़ना है। फिर SA स्वचालित रूप से रूटिन सेटिंग्स में निर्दिष्ट दूसरे चरण के मापदंडों के आधार पर बनाया जाएगा।

लेकिन रेसून से दूसरे चरण के मापदंडों का उपयोग करना संभव नहीं है, लेकिन एसए को इस उपयोगिता के माध्यम से सेट करना है। विवरण और वाक्यविन्यास man 8 setkey में पाया जा सकता है। लेकिन मैं सबसे सरल कॉन्फ़िगरेशन का एक उदाहरण दूंगा।

root @ localhost: ~ # cat /etc/ipsec-tools.conf

 flush; spdflush; spdadd 192.168.1.1/32 192.168.255.1/32 any -P out ipsec esp/tunnel/10.0.1.1-10.0.255.1/require; spdadd 192.168.255.1/32 192.168.1.1/32 any -P in ipsec esp/tunnel/10.0.255.1-10.0.1.1/require;

वर्तमान में, सेटरी उपयोगिता को iproute2 मॉड्यूल द्वारा डुप्लिकेट किया गया है।
इसके भाग के रूप में, दो रिकॉर्ड प्रबंधन दल SA और SP हैं।

आईपी xfrm राज्य
आईपी xfrm नीति

इस उपयोगिता को प्रबंधित करने के अलावा, आप ट्रैफ़िक के लिए लागू एसएएस और एसपी की स्थिति देख सकते हैं। अधिक जानकारी में man 8 ip-xfrm ।

मूल टैबलेट पर एक और नज़र डालें। IPSec और सेवा के लिए अलग-अलग IP पते हैं। आंतरिक आईपी पते को मेगेटेलेकॉम के बुनियादी ढांचे के अंदर फ़िल्टर किया जा रहा है। लेकिन हमारे पास केवल एक वर्चुअल मशीन है। एक आंतरिक आईपी पते को किसी तरह उस पर दिखाई देना चाहिए, और सुरंग में पैकेट से जाना चाहिए। इस परिदृश्य को प्राप्त करने के लिए कई विकल्प हैं:

स्टॉप का पता लगाए बिना एक स्थिर मार्ग, लेकिन आउटगोइंग इंटरफ़ेस और आईपी पते के स्पष्ट संकेत के साथ।
रूट आधारित नीति आधारित रूटिंग (लिनक्स उर्फ आईपी नियम पर पीबीआर)।
पता अनुवाद ( NAT / MASQARADE )।

मेरे दृष्टिकोण से, पहला विकल्प यहां उपयुक्त है।

हम अपने इंटरफ़ेस में एक अतिरिक्त (द्वितीयक) आईपी पता जोड़ सकते हैं, जबकि इस इंटरफ़ेस के लिए उपनाम बनाना बेहतर है
root@localhost: ~# ip addr add 192.168.1.1/32 dev eth1 label eth1:1
और इस IP पते से मार्ग को Megatelecom सर्वर में कॉन्फ़िगर करें।
root@localhost: ~# ip route add 192.168.255.1/32 dev eth1:1 src 192.168.1.1
लेकिन अगर आप ऐसा करते हैं, तो कुछ भी शुरू नहीं होगा। तथ्य यह है कि इस रूप में एक मार्ग जोड़ते समय, लिनक्स स्टेशन प्राप्तकर्ता के मैक पते को निर्धारित करने की कोशिश करेगा, यह एआरपी के माध्यम से करेगा ... कंप्यूटर एआरपी अनुरोध भेजेगा जिनके Who has IP 192.168.255.1 । चूंकि 192.168.255.1 192.168.1.1 (मास्क / 32!) के समान नेटवर्क पर नहीं है, इसलिए ARP पर कोई प्रतिक्रिया नहीं होगी। लेकिन जब आप कनेक्ट करने का प्रयास करते हैं, तो No route to host स्थानीय आईपी पते से वापस नहीं किया जाएगा। इसे पराजित करने के लिए, हमें एक स्थिर ARP रिकॉर्ड सेट करना होगा:
root@localhost: ~# arp -s 192.168.255.1 00:00:00:00:00:01 -i eth1:1
ऐसा जीवन हैक। वैसे, इस तरह के जोड़तोड़ से लिनक्स आईपी स्टैक का सही संचालन नहीं हो सकता है। किसी एक मामले में, ip route कमांड वांछित परिणाम नहीं देता है, नेटवर्क स्टैक को रिबूट करना आवश्यक था।

स्वास्थ्य की जाँच

मत भूलो, सुरंग केवल तभी उठेगी जब यातायात इसमें चला जाएगा! गंतव्य से पहले एक विशिष्ट इंटरफ़ेस (आईपी पते) से पिंग शुरू करना आवश्यक है।
root@localhost: ~# ping -I 192.168.1.1 192.168.255.1
थोड़ी देरी के साथ, रिवर्स साइड से जवाब होना चाहिए (जब तक कि आईसीएमपी साइट पर कहीं भी बंद न हो)।

हम देख सकते हैं कि क्या ISAKMP सुरंग बढ़ गई है।

racoonctl शो-सा इसकम्प

 root@localhost: ~# racoonctl show-sa isakmp Destination Cookies Created 10.0.1.1.500 356a7e11111a93f:367111530375c065 2018-10-02 09:18:28

हम उपयोगकर्ता डेटा के साथ सुरंग भी देख सकते हैं।

racoonctl शो-सा esp

 10.0.1.1 10.0.255.1 esp mode=tunnel spi=2148175815(0x800a8fc7) reqid=0(0x00000000) E: 3des-cbc 799e587f 6a2b4b78 5590cc2a 3d3ee331 f7e7f472 01abcdef A: hmac-sha1 01c5161f 46679a36 5d07ee9d f159fc9a 01abcdef seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Oct 2 09:22:44 2018 current: Oct 2 10:39:21 2018 diff: 4597(s) hard: 28800(s) soft: 23040(s) last: Oct 2 09:22:45 2018 hard: 0(s) soft: 0(s) current: 84(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 1 hard: 0 soft: 0 sadb_seq=1 pid=3764 refcnt=0 10.0.255.1 10.0.1.1 esp mode=tunnel spi=45614328(0x02b804f8) reqid=0(0x00000000) E: 3des-cbc 97cedcf1 644e8bbb c22b4e2c fa08a874 01abcdef 211ad19e A: hmac-sha1 1ab3e79d 3fd924a0 01abcdef 6c9ac89a 01abcdef seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Oct 2 09:22:44 2018 current: Oct 2 10:39:21 2018 diff: 4597(s) hard: 28800(s) soft: 23040(s) last: Oct 2 09:22:45 2018 hard: 0(s) soft: 0(s) current: 84(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 1 hard: 0 soft: 0 sadb_seq=0 pid=3764 refcnt=0

यह कनेक्शन स्थापित करने के लिए तर्क को देखने के लिए tcpdump में उपयोगी हो सकता है। यहां आप कनेक्शन की स्थापना के चरण भी देख सकते हैं और ट्रैफ़िक पहले से ही ईएसपी को एन्क्रिप्टेड ट्रांसमिट कर सकते हैं। बेशक, इसकी व्याख्या करने की तकनीकें हैं, लेकिन आमतौर पर यह निष्कर्ष पहले से ही पर्याप्त है।

root @ localhost: ~ # tcpdump -i eth1 होस्ट 10.0.255.1

 18:01:06.409631 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 1 I ident 18:01:06.439276 IP 10.0.255.1.500 > 10.0.1.1.500: isakmp: phase 1 R ident 18:01:06.440840 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 1 I ident 18:01:06.475244 IP 10.0.255.1.1.500 > 10.0.1.1.500: isakmp: phase 1 R ident 18:01:06.477032 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 1 I ident[E] 18:01:06.487785 IP 10.0.255.1.500 > 10.0.1.1.500: isakmp: phase 1 R ident[E] 18:01:06.488048 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 2/others I inf[E] 18:01:07.412451 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 2/others I oakley-quick[E] 18:01:07.465363 IP 10.0.255.1.500 > 10.0.1.1.500: isakmp: phase 2/others R oakley-quick[E] 18:01:07.465940 IP 10.0.1.1.500 > 10.0.255.1.500: isakmp: phase 2/others I oakley-quick[E] 18:01:08.467373 IP 10.0.1.1 > 10.0.255.1: ESP(spi=0x7aabfa82,seq=0x1), length 116 18:01:08.480141 IP 10.0.255.1 > 10.0.1.1: ESP(spi=0x0386f867,seq=0x1), length 116

SSH के माध्यम से दूरस्थ रूप से कनेक्ट करते समय, खिड़कियों का एक गुच्छा उत्पन्न न करने के लिए, पृष्ठभूमि में tcpdump चलाना सुविधाजनक है:

root@localhost: ~# tcpdump -i eth1 -w ipsec.pcap esp &

हम पिंग, टेलनेट, नेटकैट शुरू करते हैं ...

root@localhost: ~# killall tcpdump root@localhost: ~# tcpdump -vr ipsec.pcap

इसके अलावा लॉग में आप कनेक्शन की सफल स्थिति देख सकते हैं। यह IPSec के दोनों चरणों की सफल स्थापना को दर्शाता है।

रूट @ लोकलहोस्ट: ~ # कैट /वर / स्लोगन / ईमेल.लॉग

 Oct 3 17:53:26 vm22433 racoon: INFO: IPsec-SA request for 10.0.255.1 queued due to no phase1 found. Oct 3 17:53:26 vm22433 racoon: INFO: initiate new phase 1 negotiation: 10.0.1.1[500]<=>10.0.255.1[500] Oct 3 17:53:26 vm22433 racoon: INFO: begin Identity Protection mode. Oct 3 17:53:26 vm22433 racoon: INFO: received Vendor ID: CISCO-UNITY Oct 3 17:53:26 vm22433 racoon: INFO: received Vendor ID: DPD Oct 3 17:53:26 vm22433 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt Oct 3 17:53:26 vm22433 racoon: INFO: ISAKMP-SA established 10.0.1.1[500]-10.0.255.1[500] spi:ebddc300af62ae42:abcdef0123 Oct 3 17:53:27 vm22433 racoon: INFO: initiate new phase 2 negotiation: 10.0.1.1[500]<=>10.0.255.1[500] Oct 3 17:53:27 vm22433 racoon: INFO: received RESPONDER-LIFETIME: 4608000 kbytes Oct 3 17:53:27 vm22433 racoon: WARNING: attribute has been modified. Oct 3 17:53:27 vm22433 racoon: INFO: IPsec-SA established: ESP/Tunnel 10.0.1.1[500]->10.0.255.1[500] spi=238677(0xe39eabc) Oct 3 17:53:27 vm22433 racoon: INFO: IPsec-SA established: ESP/Tunnel 10.0.1.1[500]->10.0.255.1500] spi=7204011111(0x44b4aaa)

वह सब है। यह स्टार्टअप के लिए सभी आवश्यक जोड़तोड़ करने के लिए बनी हुई है, और आप अनुप्रयोगों के एकीकरण को शुरू कर सकते हैं।

पुनश्च: व्यक्तिगत संदेश द्वारा लेख में सभी त्रुटियों या अशुद्धियों की रिपोर्ट करने का अनुरोध। जब मैं लेख को ट्विक करता हूं, तो टिप्पणियां मूर्खतापूर्ण लगेंगी।

लिनक्स के साथ मुश्किल IPSec

IPSec अवधारणा

लिनक्स पर IPSec

स्वास्थ्य की जाँच

More articles: