Инструменты безопасности с открытым исходным кодом


Применение FreeS/WAN - часть 4


В частичном режиме инициировать соединение всегда должен ваш шлюз. В обоих режимах требуется, чтобы вы имели доступ к записи DNS для имени хоста, который вы хотите настроить.

Настройка частичного оппортунистического шифрования (только инициирование)

  1. Сначала отредактируйте запись DNS для имени хоста, которое будете применять при добавлении элемента для ключа. Запись DNS должна соответствовать идентификатору в файле ipsec.conf. В рассмотренном выше примере с мобильным пользователем это gateway.example.com. Выполните следующую команду на шлюзовой машине, чтобы создать эту запись: ipsec showhostkey --txt @имя_хоста-шлюза

    Замените имя_хоста-шлюза именем вида gateway.example.com.

    Будет создан текстовый файл с текстовой записью, содержащей ключ и отформатированной в соответствии с синтаксисом DNS.

  2. Вставьте полученную запись в зонный файл этого домена как прямую запись TXT.

    Примечание: Если вы не знаете, как редактировать записи DNS, воспользуйтесь помощью администратора DNS. Ошибка в записи DNS может легко привести к отключению всего домена.

    Помните также, что распространение изменений по Интернету займет некоторое время. В зависимости от места запроса этот процесс может занять до 48 часов.

  3. Убедиться, что сделанные изменения вступили в силу, можно с помощью следующего запроса: ipsec verify --host gateway.example.com

    Должен прийти ответ OK для прямой записи.

    Обратный поиск записи работать не будет, но это допустимо, пока вы не пожелаете применить полное оппортунистическое шифрование. Помните, что хотя вы можете успешно опрашивать сервер DNS, другая сторона вашего соединения на это может быть еще не способна. Там также следует выполнить команду проверки.

  4. Когда обе стороны смогут видеть запись DNS, остается только перезапустить службу IPsec, набрав команду service ipsec restart

    Когда она выполнится, все будет готово к работе.

Это все, что требуется, так как FreeS/WAN автоматически сконфигурирует соединение с помощью информации в записи DNS.

Настройка полного оппортунистического шифрования




Начало  Назад  Вперед



Книжный магазин