Инструменты безопасности с открытым исходным кодом


Применение FreeS/WAN


FreeS/WAN можно применять несколькими способами. Один из них предназначен для постоянного соединения "шлюз-шлюз" и называется одноранговым режимом. Этот режим подходит в случае, когда есть два офиса, желающие безопасно общаться через Интернет. Второй метод называется режимом мобильного пользователя. Он предназначен для удаленных пользователей, желающих безопасно подключаться к вашей ЛВС. Наконец, можно оперировать в режиме шифрования "по возможности", когда шифруются соединения с хостами или шлюзами, которые на это способны. Ниже описано, как задать каждый из этих режимов.

Одноранговый режим

В FreeS/WAN используются имена Right (Правый) и Left (Левый) для обозначения двух машин, соединяющихся посредством IPsec. Это никак не связано с направлением или расположением и просто позволяет ссылаться на различные стороны IPsec-соединения. По своему выбору назовите одну машину Left, а другую - Right.

  1. Сначала на машине Right наберите следующую команду, чтобы получить ее открытый ключ: ipsec showhostkey --right

    FreeS/WAN выдаст некоторую информацию об IPsec на этой машине, в том числе ее открытый ключ. После знака равенства будет следовать длинный список случайных на вид цифр. Это и есть ключ. Перепишите это число или воспользуйтесь функцией копирования текстового редактора.

  2. Теперь получите открытый ключ машины Left, применяя ту же самую команду, но с ключом --left.
  3. Перейдите в каталог /etc/freeswan и отредактируйте файл ipsec.conf (в некоторых дистрибутивах этот файл может храниться в /etc). В табл. 9.3 перечислены и описаны параметры, которые необходимо установить в разделе conn net-to-net.

Таблица 9.3. Параметры FreeS/WAN

ПараметрОписание
LeftIP-адрес шлюза IPsec Left
LeftsubnetДиапазон IP-адресов, прикрываемых шлюзом Left
LeftidИмя хоста в формате полностью квалифицированного доменного имени и со знаком @ перед ним. Например, @gateway.example.com.
LeftrsasigkeyКлюч, скопированный ранее из машины Left
LeftnexthopПодразумеваемый шлюз для машины Left. Подразумеваемые настройки должны работать в большинстве случаев
RightТо же, что Left выше, но для машины Right
RightsubnetТо же, что Leftsubnet выше, но для машины Right
RightidТо же, что Leftid выше, но для машины Right
RightrsasigkeyТо же, что Leftrsasigkey выше, но для машины Right
RightnexthopТо же, что Leftnexthop выше, но для машины Right
AutoПодразумеваемое значение add санкционирует соединение, но не инициирует его, когда загружается система. Если вы хотите, чтобы оно запускалось автоматически, замените значение этого параметра на start
<


Начало  Назад  Вперед



Книжный магазин