1.4.- Instalación de IPSEC
La implementación de IPsec requiere que el paquete RPM de ipsec-tools esté instalado en todos los hosts IPsec (si se usa una configuración de host a host) o en enrutadores (si se usa una configuración de red a red). El paquete RPM contiene bibliotecas esenciales, daemons y archivos de configuración para configurar la conexión IPsec, que incluye:
/ sbin / setkey - manipula la administración de claves y los atributos de seguridad de IPsec en el kernel. Este ejecutable está controlado por el daemon de gestión de clave de racoon.
/ sbin / racoon: el daemon de gestión de claves IKE, utilizado para gestionar y controlar asociaciones de seguridad y compartir claves entre IPsec-sistemas conectados.
/etc/racoon/racoon.conf: el archivo de configuración del demonio racoon utilizado para configurar diversos aspectos de la conexión IPsec, incluidos los métodos de autenticación y los algoritmos de cifrado utilizados en la conexión.
1.4.1.- Instalando ipsec-tools
1.4.1.1.- Download the latest epel-release rpm from
http://dl.fedoraproject.org/pub/epel/7/x86_64/
1.4.1.2.- Install epel-release rpm
# rpm -Uvh epel-release*rpm
1.4.1.3.- Install ipsec-tools rpm package
# yum install ipsec-tools
1.4.2.- Configuracion de IPsec
El primer paso para crear una conexión es recopilar información del sistema y de la red desde cada estación de trabajo. Para una conexión de host a host, necesita lo siguiente:
o La dirección IP de cada host
o Un nombre único, por ejemplo, ipsec1. Esto se usa para identificar la conexión IPsec y para distinguirla de otros dispositivos o conexiones.
o Una clave de cifrado fija o una generada automáticamente por racoon.
o Una clave de autenticación precompartida que se usa durante la etapa inicial de la conexión y para intercambiar claves de cifrado durante la sesión.
Por ejemplo, supongamos que la estación de trabajo A y la estación de trabajo B desean conectarse entre sí a través de un túnel IPsec. Quieren conectarse usando una clave pre-compartida con el valor de Key_Value01, y los usuarios aceptan dejar que el raccon genere y comparta automáticamente una clave de autenticación entre cada host. Ambos usuarios de host deciden nombrar sus conexiones ipsec1.
1.4.2.1.- Creando la interfaz Ipsec
El siguiente es el archivo de configuración de IPsec para la estación de trabajo A para una conexión de IPsec de host a host con la estación de trabajo B. El nombre único para identificar la conexión en este ejemplo es ipsec1, por lo que el archivo resultante se llama:
/ etc / sysconfig / network-scripts / ifcfg-ipsec1
Y tendra lo siguiente:
DST=X.X.X.X
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
Para la estación de trabajo A, XXXX es la dirección IP de la estación de trabajo B. Para la estación de trabajo B, XXXX es la dirección IP de la estación de trabajo A. Esta conexión está configurada para iniciarse durante el arranque (ONBOOT = yes) y usa la clave precompartida método de autenticación (IKE_METHOD = PSK).
El siguiente es el contenido del archivo de clave precompartida (llamado / etc / sysconfig / network-scripts / keys-ipsec1) que ambas estaciones de trabajo necesitan autenticarse entre sí. El contenido de este archivo debe ser idéntico en ambas estaciones de trabajo, y solo el usuario raíz debe poder leer o escribir este archivo.
Que tendrá el siguiente contenido en este caso, la llave puede ser cualquiera.
IKE_PSK=Key_Value01
Para iniciar la conexión, use el siguiente comando en cada host:
[root@myServer ~]# /sbin/ifup ifcfg-ipsec1
Para testear la configuración utiliza la herramienta wireshark, y monitoree los paquetes, todos deben usar el protocolo ESP.