apt-get install ipsec-tools
2. este nos creara un archivo de configuracion en el directorio de etc
pico /etc/ipsec-tools.conf
3.dentro de este archivo descomentaremos las siguientes lineas
flush;
spdflush;
configuracion ipsec con ah.
AH
Authentication Header. Encabezamiento contenido en IPSEC que se utiliza para verificar que el contenido de un paquete no ha sido modificado durante la transmisión.
AH firma digitalmente el contenido completo de cada paquete, protegiendo la red contra tres tipos de ataques:
1. Repetición o Reply: el atacante captura los paquetes, los guarda y los vuelve a enviar, permitiendo que se introduzca en una máquina cuando ya no está en la red, y AH lo evita incluyendo un hash en clave del paquete, para que nadie pueda reenviar los paquetes.
2. Manipulación o Tampering: el mecanismo del hash en clave del IPSEC asegura que nadie haya cambiado el contenido de un paquete después de ser enviado.
3. Engaño o Spoofing: AH autentica por dos vías, de modo que el cliente y el servidor puedan verificar la identidad de uno y otro.
Para que nuestro IPsec trabaje con AH debemos agregar las siguientes lineas en el archivo de configuracion (las direcciones IP utilizadas aqui son para el caso del ejemplo, para otra configuracion debes tener en cuenta el rango de direccionamiento de tu red):
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";
192.168.0.10 es mi direccion IP y 192.168.0.20 es la direccion del equipo con el estableceremos la conexion IPsec, hmac-md5 es el algoritmo que usaremos y "abcdefghijklmnop" es la clave precompartida que debe ser de 1024 bits ya que esto es lo que soporta md5. La longitud varia dependiendo del algoritmo que se utilize.
La segunda linea se agrega para establecer la conexion en sentido contrario, estableciendo asi la comunicacion en doble sentido.
Tambien debemos configurar las siguientes lineas del archivo ipsec-tools.conf
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
ah/transport//require;
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
ah/transport//require;
Asi especificamos nuevamente la comunicacion en ambos sentidos y tambien que trabajaremos con AH.
Asi queda el archivo de configuracion correcto:
#!/usr/sbin/setkey -f
# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#
## Flush the SAD and SPD
#
flush;
spdflush;
## Some sample SPDs for use racoon
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";
#
spdadd 192.168.0.10 192.168.0.20 any -P out ipsec
ah/transport//require;
#
spdadd 192.168.0.20 192.168.0.10 any -P in ipsec
ah/transport//require;
#
-Algo que debemos tener en cuenta es que en el equipo con el que vamos a establecer la conexion IPsec debe tener los mismos parametros configurados pero en sentido contrario al nuestro, por ejemplo, veamos como se veria el archivo de configuracion del equipo 192.168.0.20:
#!/usr/sbin/setkey -f
# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#
## Flush the SAD and SPD
#
flush;
spdflush;
## Some sample SPDs for use racoon
add 192.168.0.20 192.168.0.10 ah 0x300 -A hmac-md5 "abcdefghijklmnop";
add 192.168.0.10 192.168.0.20 ah 0x200 -A hmac-md5 "abcdefghijklmnop";
#
spdadd 192.168.0.20 192.168.0.10 any -P out ipsec
ah/transport//require;
#
spdadd 192.168.0.10 192.168.0.20 any -P in ipsec
ah/transport//require;
#
-Despues de tener listo el archivo de configuracion recargamos IPsec
#setkey -f /etc/ipsec-tools.conf
Ahora podemos comprobar si esta funcionando capturando paquetes con el comando tcpdump.
No hay comentarios:
Publicar un comentario