This is an archive of past FreeBSD releases; it's part of the FreeBSD Documentation Archive.
| FreeBSD Handbuch | ||
|---|---|---|
| Zurück | Kapitel 10. Sicherheit | Nach vorne |
Abschließende Zeichen: Am Ende der Beispiele in diesem und anderen Abschnitten werden Sie oft ein ``^D'' sehen. Das bedeutet, dass Sie die Control-Taste zusammen mit der Taste D drücken sollen. Eine weiterere häufig genutzte Kombination ist ``^C''. Hier drücken Sie die Taste Control zusammen mit der C-Taste.
Tipp: HOWTOs, die die Implementierung von IPsec in FreeBSD beschreiben, finden Sie unter http://www.daemonnews.org/200101/ipsec-howto.html und http://www.freebsddiary.org/ipsec.php.
IPsec stellt eine sichere Kommunikation auf IP- und Socket-Ebene zur Verfügung. Der folgende Abschnitt zeigt wie Sie IPsec benutzen. Weitere Einzelheiten können Sie dem FreeBSD Developers' Handbook entnehmen.
Die aktuelle Version von IPsec unterstützt den Transport-Modus sowie den Tunnel-Modus, wobei der Tunnel-Modus einige Beschränkungen besitzt. Unter http://www.kame.net/newsletter/ finden Sie weitere Beispiele.
Um IPsec benutzen zu können, müssen Sie folgende Optionen in Ihren Kernel kompiliert haben:
options IPSEC #IP security
options IPSEC_ESP #IP security (crypto; define w/IPSEC)
Um zwischen zwei Rechnern, im folgenden Beispiel HOST A (10.2.3.4) und HOST B (10.6.7.8) sicher zu kommunizieren, müssen wir zuerst eine Sicherheitsassoziation einrichten. Das folgende Beispiel benutzt den alten AH (Authentication Header) von HOST A zu HOST B. Für die Kommunikation von HOST B zu HOST A wird der neue AH mit dem neuen ESP (Encapsulating Security Payload) kombiniert.
Zu den Verfahren ``AH'', ``neuer AH'', ``ESP'' und ``neuem ESP'' müssen nun Algorithmen ausgewählt werden. Die zur Verfügung stehenden Algorithmen werden in setkey(8) erläutert. Wir entschieden uns für die Kombinationen MD5 für AH, new-HMAC-SHA1 für neuen AH und new-DES-expIV mit 8 Byte IV für den neuen ESP.
Die Schlüssellänge hängt stark vom gewählten Algorithmus ab. Für MD5 beträgt sie 16 Bytes, für new-HMAC-SHA1 20 Bytes und 8 Bytes für new-DES-expIV. Wie wählten jeweils die Schlüssel ``MYSECRETMYSECRET'', ``KAMEKAMEKAMEKAMEKAME'' und ``PASSWORD''.
Als nächstes müssen wir jedem Protokoll einen SPI (Security Parameter Index) zuweisen. Beachten Sie bitte, dass wir drei SPIs benötigen, da drei Header erzeugt werden (einer für die Kommunikation von HOST A zu HOST B und zwei für die Kommunikation von HOST B zu HOST A). Beachten Sie weiterhin, dass die SPIs größer oder gleich 256 sein müssen. Im folgenden Beispiel haben wir uns für 1000, 2000 und 3000 entschieden.
(1)
HOST A ------> HOST B
(1)PROTO=AH
ALG=MD5(RFC1826)
KEY=MYSECRETMYSECRET
SPI=1000
(2.1)
HOST A <------ HOST B
<------
(2.2)
(2.1)
PROTO=AH
ALG=new-HMAC-SHA1(new AH)
KEY=KAMEKAMEKAMEKAMEKAME
SPI=2000
(2.2)
PROTO=ESP
ALG=new-DES-expIV(new ESP)
IV length = 8
KEY=PASSWORD
SPI=3000
Um die Sicherheitsassoziation einzurichten, führen Sie setkey(8) auf HOST A und HOST B aus:
# setkey -c
add 10.2.3.4 10.6.7.8 ah-old 1000 -m transport -A keyed-md5 "MYSECRETMYSECRET" ;
add 10.6.7.8 10.2.3.4 ah 2000 -m transport -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME" ;
add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ;
^D
Bevor Sie die Kommunikation mit IPsec benutzen können, müssen Sie noch eine Sicherheits-Policy auf beiden Rechnern einrichten:
Auf Host A:
# setkey -c
spdadd 10.2.3.4 10.6.7.8 any -P out ipsec
ah/transport/10.2.3.4-10.6.7.8/require ;
^D
Auf Host B:
# setkey -c
spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
esp/transport/10.6.7.8-10.2.3.4/require ;
spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
ah/transport/10.6.7.8-10.2.3.4/require ;
^D
HOST A --------------------------------------> HOST E
10.2.3.4 10.6.7.8
| |
========== old AH keyed-md5 ==========>
<========= new AH hmac-sha1 ===========
<========= new ESP des-cbc ============
Das folgende Beispiel zeigt die Nutzung von IPsec mit IPv6.
Das folgende Beispiel richtet den ESP Transport-Modus für TCP Verbindungen zwischen HOST B Port 110 und HOST A ein.
============ ESP ============
| |
Host-A Host-B
fec0::10 -------------------- fec0::11
Der Algorithmus zum Verschlüsseln ist blowfish-cbc, der zugehörige Schlüssel ist ``kamekame''. Für die Authentifizierung wird hmac-sha1 mit dem Schlüssel ``this is the test key'' verwendet. Auf HOST A geben Sie die folgenden Befehle ein:
# setkey -c <<EOF
spdadd fec0::10[any] fec0::11[110] tcp -P out ipsec
esp/transport/fec0::10-fec0::11/use ;
spdadd fec0::11[110] fec0::10[any] tcp -P in ipsec
esp/transport/fec0::11-fec0::10/use ;
add fec0::10 fec0::11 esp 0x10001
-m transport
-E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ;
add fec0::11 fec0::10 esp 0x10002
-m transport
-E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ;
EOF
Entsprechend auf HOST B:
# setkey -c <<EOF
spdadd fec0::11[110] fec0::10[any] tcp -P out ipsec
esp/transport/fec0::11-fec0::10/use ;
spdadd fec0::10[any] fec0::11[110] tcp -P in ipsec
esp/transport/fec0::10-fec0::11/use ;
add fec0::10 fec0::11 esp 0x10001 -m transport
-E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ;
add fec0::11 fec0::10 esp 0x10002 -m transport
-E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ;
EOF
Beachten Sie bitte die Richtung der erstellen Security Policy.
Das folgende Beispiel baut einen Tunnel zwischen zwei Gateways auf.
Als Protokoll wird der alte AH Tunnel-Modus (RFC 1826) verwendet. Zur Authentifizierung wird keyed-md5 mit dem Schlüssel ``this is the test'' verwendet.
======= AH =======
| |
Network-A Gateway-A Gateway-B Network-B
10.0.1.0/24 ---- 172.16.0.1 ----- 172.16.0.2 ---- 10.0.2.0/24
Der Gateway A wird wie folgt konfiguriert:
# setkey -c <<EOF
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec
ah/tunnel/172.16.0.1-172.16.0.2/require ;
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec
ah/tunnel/172.16.0.2-172.16.0.1/require ;
add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any
-A keyed-md5 "this is the test" ;
add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any
-A keyed-md5 "this is the test" ;
EOF
Wenn wie oben die Portnummer weggelassen wird, wird [any] verwendet. Mit -m wird der Modus der Sicherheitsassoziation angegeben. -m any gilt für den Transport- sowie den Tunnel-Modus.
Auf Gateway B geben Sie Folgendes ein:
# setkey -c <<EOF
spdadd 10.0.2.0/24 10.0.1.0/24 any -P out ipsec
ah/tunnel/172.16.0.2-172.16.0.1/require ;
spdadd 10.0.1.0/24 10.0.2.0/24 any -P in ipsec
ah/tunnel/172.16.0.1-172.16.0.2/require ;
add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any
-A keyed-md5 "this is the test" ;
add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any
-A keyed-md5 "this is the test" ;
EOF
Transport- und Tunnel-Modus zwischen zwei Gateways
Zwischen Gateway A und Gateway B soll der AH Transport-Modus und der ESP Tunnel-Modus eingerichtet werden. In diesem Fall wird zuerst der ESP-Tunnel eingerichtet, danach folgt das Einrichten des AH Transport-Modus.
========== AH =========
| ======= ESP ===== |
| | | |
Network-A Gateway-A Gateway-B Network-B
fec0:0:0:1::/64 --- fec0:0:0:1::1 ---- fec0:0:0:2::1 --- fec0:0:0:2::/64
Für ESP wird 3des-cbc zur Verschlüsselung und hmac-sha1 zur Authentifizierung verwendet. Bei AH wird zur Authentifizierung hmac-md5 benutzt. Auf Gateway A sieht die Konfiguration wie folgt aus:
# setkey -c <<EOF
spdadd fec0:0:0:1::/64 fec0:0:0:2::/64 any -P out ipsec
esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require
ah/transport/fec0:0:0:1::1-fec0:0:0:2::1/require ;
spdadd fec0:0:0:2::/64 fec0:0:0:1::/64 any -P in ipsec
esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require
ah/transport/fec0:0:0:2::1-fec0:0:0:1::1/require ;
add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10001 -m tunnel
-E 3des-cbc "kamekame12341234kame1234"
-A hmac-sha1 "this is the test key" ;
add fec0:0:0:1::1 fec0:0:0:2::1 ah 0x10001 -m transport
-A hmac-md5 "this is the test" ;
add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10001 -m tunnel
-E 3des-cbc "kamekame12341234kame1234"
-A hmac-sha1 "this is the test key" ;
add fec0:0:0:2::1 fec0:0:0:1::1 ah 0x10001 -m transport
-A hmac-md5 "this is the test" ;
EOF
Im Folgenden werden zwei Sicherheitsassoziationen mit unterschiedlichen Endpunkten erstellt.
Zwischen Host A und Gateway A soll ein ESP-Tunnel eingerichtet werden. Zur Verschlüsselung wird cast128-cbc und zur Authentifizierung wird hmac-sha1 verwendet. Zusätzlich wird zwischen Host A und Host B der ESP Transport-Modus eingerichtet. Zur Verschlüsselung wird rc5-cbc verwendet. Die Authentifizierung verwendet hmac-md5.
================== ESP =================
| ======= ESP ======= |
| | | |
Host-A Gateway-A Host-B
fec0:0:0:1::1 ---- fec0:0:0:2::1 ---- fec0:0:0:2::2
Host A wird wie folgt konfiguriert:
# setkey -c <<EOF
spdadd fec0:0:0:1::1[any] fec0:0:0:2::2[80] tcp -P out ipsec
esp/transport/fec0:0:0:1::1-fec0:0:0:2::2/use
esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ;
spdadd fec0:0:0:2::1[80] fec0:0:0:1::1[any] tcp -P in ipsec
esp/transport/fec0:0:0:2::2-fec0:0:0:l::1/use
esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ;
add fec0:0:0:1::1 fec0:0:0:2::2 esp 0x10001
-m transport
-E cast128-cbc "12341234"
-A hmac-sha1 "this is the test key" ;
add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10002
-E rc5-cbc "kamekame"
-A hmac-md5 "this is the test" ;
add fec0:0:0:2::2 fec0:0:0:1::1 esp 0x10003
-m transport
-E cast128-cbc "12341234"
-A hmac-sha1 "this is the test key" ;
add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10004
-E rc5-cbc "kamekame"
-A hmac-md5 "this is the test" ;
EOF
| Zurück | Zum Anfang | Nach vorne |
| OpenSSL | Nach oben | OpenSSH |
Wenn Sie Fragen zu FreeBSD haben,
schicken Sie eine E-Mail an <de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie
eine E-Mail an <de-bsd-translators@de.FreeBSD.org>.