何か決めなきゃ駄目ですか。



俺が決めたら、貴方はどうするんだい。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

IPv6IPsecその1

メモ代わりに貼っておきます。
俺が書いたwiki内容を貼って、水平線入れただけ。
不正確っぽいので、あてにはならない。



概略


Windows VistaとLinux(Vine4.1,Linux kernel2.6.16)による、IPv6 + IPsec接続実験の試行内容について記述する。
ここでは特に、事前共有鍵を用いたIKEによる自動鍵交換方式について述べる。

Windows Vistaの環境



IP:fe80::ecc7:~
GUIによる設定(管理ツール->ローカルセキュリティポリシー->セキュリティが強化されたWindowsファイアウォール)
接続セキュリティの規則
 エンドポイント1:fe80::ecc7:~
 エンドポイント2:fe80::290:~
 認証モード:受信で必須、送信で要求
 方法:事前共有キー
ファイアウォールのプロパティ
 パブリックプロファイル:状態:オン、受信:ブロック、送信:許可
 ドメインプロファイル :状態:オン、受信:ブロック、送信:許可
 ローカルプロファイル :状態:オン、受信:ブロック、送信:許可
ファイアウォールのプロパティ -> IPsecの設定
IPSecの既定
 キー交換の詳細設定
  1.SHA1 AES-128
  2.SHA1 3DES
 Diffie-Hellman Group 2
 キーの有効時間:480[分]
 キーの有効期間:0[セッション]
データ保護
 この設定に使用するすべての接続セキュリティ規則に暗号化を要求する。にチェック。
データの整合性と暗号化
 1.ESP SHA1 AES-128 60/100,000
 2.ESP SHA1 3DES 60/100,000
認証方法
 事前共有キー
IPsecの設定
 IPsecからICMPを除く:いいえ(既定)


Linuxの環境


IP:fe80::290:~
kernel
Vine4.1インストール環境から、kernel再構築はしたが、組込みには特に変更無し。
動作中のKernel Listは、kernel_modules.txt


設定ファイル
racoon.conf


path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous {
exchange_mode main, aggressive;
lifetime time 1 hour;
proposal_check obey;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes, 3des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}


test.conf


#!/sbin/setkey -f
flush;
spdflush;
spdadd fe80::290:中略:e743%eth1 fe80::ecc7中略:11ad%eth1 any -P out ipsec esp/transport//require;
spdadd fe80::ecc7:中略:11ad%eth1 fe80::290:中略:e743%eth1 any -P in ipsec esp/transport//require;
spdadd -6 ::/0 ::/0 icmp6 -P out prio 390 ipsec esp/transport//use;
spdadd -6 ::/0 ::/0 icmp6 -P in prio 390 ipsec esp/transport//use;
spdadd -6 ::/0 ::/0 udp -P out prio 290 ipsec esp/transport//use;


必要動作
filenameを参照し、SPDを設定する。
#>setkey -f [filename]
フォアグラウンド+デバッグモードでracoonを起動する。
#>racoon -F -dddddd -f racoon.conf


pingによる動作状況
Windows -> Linux
 IKE鍵交換成立
Linux -> Windows
 IKE鍵交換成立

参考画像
ipsec.jpg




要考察問題
Windows側
"認証モード:受信、および送信で必須"を利用する場合、鍵交換成立のためには、想定上ありえない真似をしないといけない。
Linux側
udpをuseにしているため、暗号化に万全では無い。
ICMPv6パケットをどこまで規制するのか確定していない。
優先度の動作指定が、いまひとつはっきりしない。

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。