la configuracion de ipsec en linux para mas informacion sobre ipsec esta en este link
la cual les servira.
*primero hay que instalar ipsec
apt-cache search ipsec
*ya que hemos encontrado procedemos a instalarlo
apt-get install ipsec-tools.conf
ya vamos a configura el archivo de ipsec-tools que se encuentra en la ruta /etc/ipsec-tools.conf
ya le agregamos las siguientes lineas
## Some sample SPDs for use racoon
add 10.3.9.144 10.3.16.199 ah 0x300 -A"es el algoritmo de autenticacion" hmac-sha1 "qwertyuiopasdfghjkll"; "esta es la clave ya que el tamaños de hmac-sha1 es de 128 la cual cada byte tiene 8 bits la cual procedemos a dividir 128 % 8 =16 es el tamaño de caracteres de sha1."
add 10.3.16.199 10.3.9.144 ah 0x200 -A hmac-sha1 "qwertyuiopasdfghjkll";
#add 10.3.9.144 10.3.16.199 esp 0x300 -E "es el algoritmo de cifrado" 3des-cbc "elizabethguerrasolostrab"; "es tamaño de 3des-cbc es de 192 la cual cada byte tiene 8 bits lo dividimos 192%8=24 es el tamaño de caracteres de 3des-cbc."
#add 10.3.16.199 10.3.9.144 esp 0x200 -E 3des-cbc "elizabethguerrasolostrab";
#Políticas de seguridad
spdadd 10.3.9.144 10.3.9.153 any -P out ipsec
ah/transport//require
#spdadd 10.3.9.144 10.3.9.153 any -P out ipsec
# esp/transport//require;
spdadd 10.3.9.153 10.3.9.144 any -P out ipsec
ah/transport//require
#spdadd 10.3.9.153 10.3.9.144 any -P input ipsec
# esp/transport//require;
hay estan de las dos formas tanto en ah con esp
QUE ES RACOON
racoon es un protocolo la cual se emplea autenticacion e integridad y ademas racoon debe permanecer pasivo y que nueva conexion lo conecte. Es importante que racoon no puede descifrar una clave privada. por lo tanto la clave privada dederia almacenar un texto claro sin cifrar. racoon tiene las misma definiciones que ipsec, utiliza dos modos de comunicacion que son "modo transporte, y modo tunel"
CONFIGURACION DE RACOON
primero vamos a instalar ipsec
*miramos en la cache "apt-cache search racoon"
*ya que lo encontramos lo instalamos *apt-get install racoon"
la cual nos aparecera una pantalla com la siguiente
ya que ha terminado de instalar; procedemos a configurar los archivos de instalacion que estan en /etc/racoon
lo cual se cuentran estos 3 archivos de configuracion que son:psk.txt; racoon.conf; racoon-tool.conf.
la primera que vamos a configurar es psk.txt
vamos a comentar todas las primeras lineas y despues agregamos esto
"# Direcciones IPv4
10.3.9.144 clave precompartida simple
10.3.9.153 "guerra-marlon-s2";
"en esta parte vamos agregar las ip de los equipos que se va a comunicar y tambien la clave precompartida que vam a utilizar entre el emisor y el receptor"
# USER_FQDN
eliguerra@misena.edu.co Esta es una clave precompartida para una dirección de correo
# FQDN
www.spenneberg.net Esta es una clave precompartida"
ejemplo en la siguente imagen
ya que hemos configurado la clave precompartida procedemos a configurar el siguiente archivo que es racoon.conf;esto es el modo de configurarlo es asi:
path pre_shared_key "/etc/racoon/psk.txt";
"#path certificate "/etc/racoon/certs";
remote 10.3.9.211 { "esta es la IP del equipo que nos vamos a comunicar
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des; "el algoritmo de encriptacion que vamos a utilizar entre el emisor y el receptor"
hash_algorithm sha1; "este es el algoritmo de hash que vamos a utilizar"
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}
sainfo address 10.3.9.199" esta es la ip de cada uno" [any] any address 10.3.9.211 "esta es la IP remota del compañero"[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
POSDATA: hay que tener en cuenta que entre el emisor y el receptor tiene que tener la misma configuracion pues intercambiando las IP;pero en todo lo anterior deber ser igual.
ya procedamos a provarlo mientra que el compañero nos da ping a la maquina nosotros le damos
tcpdump -i eth0 src host 10.3.9.211"ip de origen" or dst host 10.3.9.211 "ip de destino"
si te sala un error que tcp dump no es un comando debes instalarlo primero
apt-get install tcpdump
en las siguientes imagenes nos monstrara las captura de la comunicacion entre los dos host
No hay comentarios:
Publicar un comentario