jueves, 22 de mayo de 2008

IPsec con racoon

El soporte de IPsec está normalmente implementado en el núcleo con la gestión de claves y negociación de ISAKMP/IKE realizada en espacio de usuario. Las implementaciones de IPsec existentes suelen incluir ambas funcionalidades. Sin embargo, como hay un interfaz estándar para la gestión de claves, es posible controlar una pila IPsec de núcleo utilizando las herramientas de gestión de claves de una implementación distinta.

En este blog ahi otros link sobre este tema:
--Que es IPsec??
--Configuracion IPsec Linux-Linux

Para poder hacer una comunicacion de Windows a Linux o Linux a Windows utilizando IPsec, debemos instalasr RACOON.

Para intalarlo procedemos hacer lo siguiente:
--> # atp-get install racoon.

Ahi nos mostrara una imagen como esta.

Le indicamos el modo de configuracion para el demonio IKE que es de forma directa. Al terminar de instalar racoon nos debio crear un directorio en /etc/ llamado racoon (/etc/racoon) en este directorio ahi unos archivos psk.txt, racoon.conf, racoon-tool.conf que seran los que configuraremos.

*Editamos en archivo psk.txt, es recomendable comentar todas las lineas por default y agregar las nuestras con la nueva configuracion:

# Pv4/v6 addresses
# 10.160.94.3 mekmitasdigoat
# 172.16.1.133 0x12345678
# 194.100.55.1 whatcertificatereally
# 3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
# 3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
# foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge -->No se comenta.
# Direcciones IPv4
192.168.1.1 clave pre compartida simple
192.168.1.2 "ana-alex41pqow05";
# USER_FQDN
alexa@misena.edu.co Esta es una clave pre compartida para una dirección de correo

# FQDN

*Editamos el archivo racoon.conf
# pico /etc/racoon/racoon.conf

Contenido de este archivo.

# # Please look in /usr/share/doc/racoon/examples for # examples that come with the source. # # Please read racoon.conf(5) for details, and alsoread setkey(8). # # # Also read the Linux IPSEC Howto up at # http://www.ipsec-howto.org/t1.html # path pre_shared_key "/etc/racoon/psk.txt"; -->Descomentamos esta linea
path certificate "/etc/racoon/certs"; -->Descomentamos esta linea

Desde aqui empieza la configuracion de los datos del equipo y las claves. etc

remote 10.3.16.101 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.69[any] any address 10.3.16.101[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}


Por ahora no configuaremos el archivo de racoon-tools.cof

*Ahora reiniciamos racoon

# /etc/init.d/racoon restart

Con este comando podemos probar si nuestra configuracion esta buena.
# tcpdump -i eth1 src host 10.3.16.69 or dst host 10.3.16.69 -->IP de mi equipo

En el momento de que el otro equipo que configuramos igual, nos haga ping nos debe arrojar una informacion como esta.

En la imagen anterior podemos observar las fases de establecimiento de la comunicación entre los dos equipos con la configuración de racoon, como es el procedimiento para el intercambio de llaves y que estamos utilizando el protocolo isakmp.

Publicado por en

1 comentario:

Unknown dijo...

Hola, yo fui preseleccionada para la lrueba de ingreso al curso de administracion de redes en el sena, y me gustaria saber mas o menos el temario de la prueba, para prepararme. gracias

17 de junio de 2008, 9:50

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)