DNS com Opportunistic Encryption Guia

Transcrição

1 DNS com Opportunistic Encryption Guia Este guia destina-se a mostrar os passos seguidos por nós para a implementação de um DNS com opportunistic encryption (OE) usando o Linux FreeS/WAN, e o Bind 9. Introdução. O que é e o que não é. Para principiantes, DNS é o Servidor de Nomes do Domínio. O DNS converte os nomes das máquinas para números IP, que são os endereços das máquinas, mapeando de nome para endereço e de endereço para nome. Um mapeamento é simplesmente uma associação entre duas informações, neste caso um nome de máquina, como ftp.linux.org, e o número IP da máquina, como por exemplo O serviço de nomes no Unix é feito por um programa servidor denominado named. Sendo este integrante do pacote do bind que é coordenado por Paul Vixie para o consórcio de programas para a Internet. O servidor de nomes está incluído na maioria das distribuições Linux e é usualmente instalado como /usr/sbin/named. Caso se tenha um named à disposição pode-se usá-lo; caso contrário é possível obter-se um binário a partir de um site ftp Linux. O DNS é um banco de dados distribuídos por toda a rede. É necessário ter-se extremo cuidado com tudo o que for colocado nele. Ao colocar dados sem significado, outros utilizarão estes dados e certamente tudo ficará um pouco "estranho". O DNS deve estar sempre actualizado e ordenado, evitando-se assim problemas desagradáveis. Deve-se aprender a usá-lo e administrá-lo. Agora iremos falar do funcionamento do DNS. DNS é um sistema hierárquico. O mais alto nível é representado por. e denominado por raiz. Sob. há diversos domínios de alto nível (TLDs), sendo os mais conhecidos ORG, COM, EDU e NET, mas existem muitos mais. Ao procurar-se uma máquina, a pesquisa ocorre recursivamente dentro da hierarquia, começando no topo. Caso se queira descobrir o endereço de prep.ai.mit.edu, o servidor de nomes local tem que encontrar um nome de servidor que responda pelo domínio edu. Ele pergunta a um servidor. (ele já conhece os servidores., a partir do arquivo root.hints), e o servidor. fornecerá uma lista dos servidores do domínio edu: $ nslookup Default Server: localhost Address: Começaremos por perguntar a um servidor de raiz: > server c.root -servers.net. Default Server: c.root -servers.net

2 Address: A seguir iremos definir o tipo de pesquisa que desejamos fazer. Neste caso NS (registros de servidore de nomes): > set q=ns A seguir perguntaremos pelos servidores que respondem pelo domínio edu: > edu. O ponto após edu é significativo. Ele indica ao servidor que estamos pesquisando os servidores sob os quais o domínio edu está configurado (isto de alguma maneira simplifica a busca): edu nome do servidor = A.ROOT-SERVERS.NET edu nome do servidor = H.ROOT-SERVERS.NET edu nome do servidor = B.ROOT-SERVERS.NET edu nome do servidor = C.ROOT-SERVERS.NET edu nome do servidor = D.ROOT-SERVERS.NET edu nome do servidor = E.ROOT-SERVERS.NET edu nome do servidor = I.ROOT-SERVERS.NET edu nome do servidor = F.ROOT-SERVERS.NET edu nome do servidor = G.ROOT-SERVERS.NET A.ROOT-SERVERS.NET endereço na internet = H.ROOT-SERVERS.NET endereço na internet = B.ROOT-SERVERS.NET endereço na internet = C.ROOT-SERVERS.NET endereço na internet = D.ROOT-SERVERS.NET endereço na internet = E.ROOT-SERVERS.NET endereço na internet = I.ROOT-SERVERS.NET endereço na internet = F.ROOT-SERVERS.NET endereço na internet = G.ROOT-SERVERS.NET endereço na internet = A resposta nos indica que *.root-servers.net serve edu., podemos então continuar perguntando, por exemplo ao servidor C.ROOT-SERVERS.NET. Agora queremos saber quem serve o próximo nível do nome da máquina: mit.edu.: > mit.edu. Server: c.root-servers.net Address: Non-authoritative answer: mit.edu nameserver = W20NS.mit.edu mit.edu nameserver = BITSY.mit.edu mit.edu nameserver = STRAWB.mit.edu Authoritative answers can be found from: W20NS.mit.edu internet address = BITSY.mit.edu internet address =

3 STRAWB.mit.edu internet address = A resposta indica que strawb, w20ns e bitsy servem o domínio mit. Vamos selecionar um deles e perguntar-lhe sobre ai.mit.edu: > servidor W20NS.mit.edu. Os nomes das máquinas não são sensíveis a maiúsculas e minúsculas. Servidor: W20NS.mit.edu Endereço: > ai.mit.edu. Server: W20NS.mit.edu Address: Non-authoritative answer: ai.mit.edu nameserver = ALPHA-BITS.AI.MIT.EDU ai.mit.edu nameserver = GRAPE-NUTS.AI.MIT.EDU ai.mit.edu nameserver = TRIX.AI.MIT.EDU ai.mit.edu nameserver = MUESLI.AI.MIT.EDU ai.mit.edu nameserver = LIFE.AI.MIT.EDU ai.mit.edu nameserver = BEET-CHEX.AI.MIT.EDU ai.mit.edu nameserver = MINI-WHEATS.AI.MIT.EDU ai.mit.edu nameserver = COUNT-CHOCULA.AI.MIT.EDU ai.mit.edu nameserver = MINTAKA.LCS.MIT.EDU Authoritative answers can be found from: AI.MIT.EDU nameserver = ALPHA-BITS.AI.MIT.EDU AI.MIT.EDU nameserver = GRAPE-NUTS.AI.MIT.EDU AI.MIT.EDU nameserver = TRIX.AI.MIT.EDU AI.MIT.EDU nameserver = MUESLI.AI.MIT.EDU AI.MIT.EDU nameserver = LIFE.AI.MIT.EDU AI.MIT.EDU nameserver = BEET-CHEX.AI.MIT.EDU AI.MIT.EDU nameserver = MINI-WHEATS.AI.MIT.EDU AI.MIT.EDU nameserver = COUNT-CHOCULA.AI.MIT.EDU AI.MIT.EDU nameserver = MINTAKA.LCS.MIT.EDU ALPHA-BITS.AI.MIT.EDU internet address = GRAPE-NUTS.AI.MIT.EDU internet address = TRIX.AI.MIT.EDU internet address = MUESLI.AI.MIT.EDU internet address = LIFE.AI.MIT.EDU internet address = BEET-CHEX.AI.MIT.EDU internet address = MINI-WHEATS.AI.MIT.EDU internet address = COUNT-CHOCULA.AI.MIT.EDU internet address = MINTAKA.LCS.MIT.EDU internet address = Desta forma, obtemos que museli.ai.mit.edu é um dos servidores de nomes de ai.mit.edu:

4 > server MUESLI.AI.MIT.EDU Default Server: MUESLI.AI.MIT.EDU Address: Agora mudaremos o tipo de pergunta. Já que encontramos o servidor de nomes, agora podemos perguntar tudo o que quisermos sobre prep.ai.mit.edu. > set q=any > prep.ai.mit.edu. Server: MUESLI.AI.MIT.EDU Address: prep.ai.mit.edu CPU = dec/decstation OS = unix prep.ai.mit.edu inet address = , protocol = tcp ftp telnet smtp finger prep.ai.mit.edu preference = 1, mail exchanger = gnu-life.ai.mit.edu prep.ai.mit.edu internet address = ai.mit.edu nameserver = beet-chex.ai.mit.edu ai.mit.edu nameserver = alpha-bits.ai.mit.edu ai.mit.edu nameserver = mini-wheats.ai.mit.edu ai.mit.edu nameserver = trix.ai.mit.edu ai.mit.edu nameserver = muesli.ai.mit.edu ai.mit.edu nameserver = count-chocula.ai.mit.edu ai.mit.edu nameserver = mintaka.lcs.mit.edu ai.mit.edu nameserver = life.ai.mit.edu gnu-life.ai.mit.edu internet address = beet-chex.ai.mit.edu internet address = alpha-bits.ai.mit.edu internet address = mini-wheats.ai.mit.edu internet address = trix.ai.mit.edu internet address = muesli.ai.mit.edu internet address = count-chocula.ai.mit.edu internet address = mintaka.lcs.mit.edu internet address = life.ai.mit.edu internet address = Assim começando por. fomos capazes de descobrir os nomes dos servidores do próximo nível de domínio. Caso se esteja a usar um servidor DNS próprio ao invés de usar todos aqueles outros servidores, o named certamente guardaria no cache todas as informações que tenha encontrado, não sendo necessária toda esta pesquisa na próxima vez que fosse realizada uma nova pesquisa de localização desta máquina. Um tema muito menos comentado, mas também muito importante é in-addr.arpa. Ele também está indicado como um domínio 'normal'. in-addr.arpa permite-nos conseguir os nomes das máquinas através de seus endereços. Uma ponto importante aqui, é notar que os ip s são escritos ao contrário no campo in-addr.arpa. Caso se tenha o endereço da máquina: , named procederá exatamente como no exemplo prep.ai.mit.edu: encontrar servidores arpa., in-addr.arpa., 192.in-addr.arpa., inaddr.arpa., in-addr.arpa.. Encontrando então os registros necessários para

5 in-addr.arpa. Engenhoso não? Porém não se preocupe endereços reversos somente são confusos nos dois primeiros anos. Acabamos de contar uma mentira. O DNS não funciona exactamente da maneira aqui descrita. Mas não tenha dúvida que é muito próximo disso. Requerimentos FreeS/WAN 2.02 ou posterior Bind 9 Procedimento Após a instalação do Bind 9, e a configuração dos IP s e GateWays tal como indicado na figura 1, podemos passar á configuração dos ficheiros. O nome atribuído á zona é xpto.pt. Fig.1 Aspecto da rede e os ip s e gw das maquinas. Agora passaremos á configuração dos ficheiros necessários. PC- DNS No PC com o nome de DNS (Servidor DNS), primeiro iremos definir qual o IP a ser atribuído á maquina que neste caso será , para tal teremos de configurar o ficheiro interfaces (/etc/network) da seguinte forma: # /etc/network/interfaces configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback

6 auto eth0 iface eth0 inet static address netmask network broadcast O ficheiro ipsec.conf (/etc), não sofre qualquer alteração. Para se obter uma chave, é preciso gerá-la com o comando: $ipsec rsasigkey --verbose 2048 > mykey (ficando a chave guardada no ficheiro mykey, em seguida copia-se o ficheiro para ipsec.secrets) No ficheiro ipsec.secrets (/etc): : RSA { # RSA 2048 bits dns Thu Apr 1 18:11: # for signatures only, UNSAFE FOR ENCRYPTION # pubkey=0saqpr/0bllnlqmfau/gq.. Modulus: 0xd1ff46e59672ea985014fe0 PublicExponent: 0x03 # everything after this point is secret PrivateExponent: 0x22ffe12643bdd1c40.. Prime1: 0xf706b483838b6d9f22f Prime2: 0xd9a b7abb2b5dca4 Exponent1: 0xa4af230257b24914c1f55 Exponent2: 0x c03251d21ce93 Coefficient: 0x7bfd0ed1fd2bc40656f05 } Agora iremos configurar os ficheiros do Bind 9. Deverá apresentar: O ficheiro resolv.conf (/etc): search xpto.pt nameserver O ficheiro named.conf (/etc,) : options { directory /var/named ; auth-nx domain no; # Conform // prime the server with knowledge of the root servers zone. { Type hint; File /etc/bind/db.root ;

7 // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone localhost { typemaster; file /etc/bind/db.local ; zone 127.in-addr.arpa { type master; file /etc/bind/db.127 ; zone 0.in-addr.arpa { type master; file /etc/bind/db.0 ; zone 255.in-addr.arpa { type master; file /etc/bind/db.255 ; // add entries for other zones below here zone xpto.pt { type master; file /var/named/xpto.interno ; zone in-addr.arpa { type master; file /var/named/rev-xpto.interno ; O ficheiro xpto.interno (/var/named) : ; ;Bind data file for local loopback interfaces ; $TTL IN SOA ns.xpto.pt. root.xpto.pt ( 1 ; Serial ; Refresh ; Retry ; Expire ) ; Negative Cache TTL IN A IN NS ns.xpto.pt. ns IN A miguel IN A petrus IN A

8 gway CNAME ns ns.xpto.pt IN NS ; RSA 2048 bits dns Thu Apr 1 18:11: IN TXT X-IPsec-Server(10)= AQPR/0bllnLqmFAU/. miguel IN A ;RSA 2192 bits miguel Wed Mar 17 11:21: IN TXT X-IPsec-Server(10)= AQOeuWei9jq6LLzBlf. petrus IN A ;RSA 2048 bits petrus Thu Mar 18 15:24: IN TXT X-IPsec-Server(10)= AQN4IE7EhUzwRUxB O ficheiro rev-xpto.interno (/var/named) ; ;Bind reverse data file broadcast zone ; $TTL IN SOA ns.xpto.pt. root.xpto.pt ( 1 ; Serial ; Refresh ; Retry ; Expire ) ; Negative Cache TTL IN NS ns 200 IN PTR ns.xpto.pt. ; RSA 2048 bits dns Thu Apr 1 18:11: IN TXT X-IPsec-Server(10)= AQPR/0bllnLqmFAU/. 11 IN PTR miguel.xpto.pt. ;RSA 2192 bits miguel Wed Mar 17 11:21: IN TXT X-IPsec-Server(10)= AQOeuWei9jq6LLzBlf. 25 IN PTR petrus.xpto.pt. ;RSA 2048 bits petrus Thu Mar 18 15:24: IN TXT X-IPsec-Server(10)= AQN4IE7EhUzwRUxB (Sendo estas chaves, as chaves publicas geradas anteriormente em cada um dos PC s). PC-MIGUEL No PC com o nome de MIGUEL (Cliente), primeiro iremos definir qual o IP a ser atribuído á maquina que neste caso será , para tal teremos de configurar o ficheiro interfaces (/etc/network) da seguinte forma: # /etc/network/interfaces configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask

9 network broadcast O ficheiro ipsec.conf (/etc), não sofre qualquer alteração. Para se obter uma chave, é preciso gerá-la com o comando: $ipsec rsasigkey --verbose 2192 > mykey (ficando a chave guardada no ficheiro mykey, em seguida copia-se o ficheiro para ipsec.secrets) No ficheiro ipsec.secrets (/etc): : RSA { # RSA 2192 bits xpto.pt Wed Mar 17 11:21: # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=[keyid AQOeuWei9] Modulus: [...] PublicExponent: [...] # everything after this point is secret PrivateExponent: [...] Prime1: [...] Prime2: [...] Exponent1: [...] Exponent2: [...] Coefficient: [...] } Para saber se está tudo a funcionar executa-se o comando: $ipsec verify --host xpto.pt No qual se espera obter: Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path Linux FreeS/WAN 2.04 Checking for KLIPS support in kernel Checking for RSA private key (/etc/ipsec.secrets) Checking that pluto is running Opportunistic Encryption DNS checks: Looking for TXT in forward map: miguel Does the machine have at least one non-private address? [FAILED] Para se verificar se o túnel esta estabelecido executa-se: $ipsec_eroute

10 No qual se espera obter: /0:0 -> /0:0 => %trap: /32:0 -> /32:0 => tun0x1002@ :0 Para se saber qual o tipo de encriptação usada pelo ipsec, basta fazer: $ipsec_spi E obtem-se o resultado : tun0x1002@ IPIP: dir=out src= life(c,s,h)=bytes(49816,0,0) addtime (1094,0,0) usetime (1094,0,0) packets (479,0,0) idle=208 refcount =4 ref=654 tun0x1001@ IPIP: dir=in src= policy= /32- > /32 flags=0x8<> life(c,s,h)=bytes(49816,0,0) addtime (1094,0,0) usetime (1094,0,0) packets(479,0,0) idle=208 refcount=4 ref=649 esp0xe1a00ff@ ESP_3DES_HMAC_MD5: dir=in src= iv_bits=64bits iv=0xeb9448f210a7a7c9 ooowin=64 seq=479 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h) = bytes (49816,0,0) addtime(1094,0,0) usetime (1094,0,0) packets (479,0,0) idle=208 refcount=483 ref=650 esp0xef6acb3c@ ESP_3DES_HMAC_MD5: dir=out src= iv_bits=64bits iv=0xe107db798e3040a1 ooowin=64 seq=479 alen=128 aklen=128 eklen=192 life(c,s,h) = bytes(65144,0,0) addtime (1094,0,0) usetime (1094,0,0) packets (479,0,0) idle=208 refcount=4 ref=655 Para saber o estado do ipsec : $ipsec auto status Ao qual obtemos o resultado: 000 interface ipsec0/eth %myid = (none) 000 debug none "block": [%myid] %group; unrouted; eroute owner: #0 000 "block": ike_life:3600s;ipsec_life: 28800s;rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "block": policy:tunnel+pfs+group+grouted+reject+never_negotiate+lkod+rkod;prio:32,0; interface: eth0; 000 "block": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "block": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "block": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "block": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "block": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "clear": [%myid] %group; unrouted; eroute owner: #0 000 "clear": ike_life:3600s;ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries:0 000 "clear": policy: TUNNEL+PFS+GROUP+GROUTED+PASS+NEVER_NEGOTIATE+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "clear": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "clear": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "clear": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "clear": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "clear": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000"clear-or-private": [%myid] %opportunisticgroup;unrouted; eroute owner: 000"clear-or-private":ike_life:3600s;ipsec_life:3600s;rekey_margin:540s;rekey_fuzz:100%;keyingtries:3 000"clear-or-private": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+PASS+failurePASS+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "clear-or-private": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "clear-or-private": IKE algorithms wanted:5_ ,5_ ,5_ ,5_ ,flags=-strict 000 "clear-or-private": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_ "clear-or-private": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "clear-or-private": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "packetdefault": /0=== [%myid] %opportunistic; prospective erouted; eroute owner: #0 000 "packetdefault": ike_life:3600s;ipsec_life:3600s;rekey_margin:540s;rekey_fuzz:100%; keyingtries:3 000 "packetdefault": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failurePASS+lKOD+rKOD; prio: 0,0; interface: eth0; 000 "packetdefault": newest ISAKMP SA: #0; newest IPsec SA: #0;

11 000 "packetdefault": IKE algorithms wanted:5_ ,5_ ,5_ , 5_ , flags=-strict 000 "packetdefault": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_ "packetdefault": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "packetdefault": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private": [%myid] %opportunisticgroup; unrouted; eroute owner: #0 000 "private": ike_life:3600s;ipsec_life:3600s;rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "private": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32": [%myid] %opportunistic=== /32; prospective erouted; eroute owner: #0 000 "private# /32":ike_life:3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private# /32": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private# /32": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private# /32": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private# /32": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 000 "private# /32": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private# /32": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32"[1]: [%myid] ===?; unrouted; eroute owner: #0 000 "private# /32"[1]: ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private# /32"[1]: policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private# /32"[1]: newest ISAKMP SA: #1; newest IPsec SA: #0; 000 "private# /32"[1]: IKE algorithms wanted:5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private# /32"[1]: IKE algorithms found:5_192-1_128-5, 5_192-2_160-5, 5_192-1_ "private# /32"[1]: IKE algorithm newest: 3DES_CBC_192-MD5-MODP "private# /32"[1]: ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private# /32"[1]: ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32"[2]: [%myid] ; erouted; eroute owner: #2 000 "private# /32"[2]: ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private# /32"[2]: policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private# /32"[2]: newest ISAKMP SA: #0; newest IPsec SA: #2; 000 "private# /32"[2]: IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private# /32"[2]: IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_ "private# /32"[2]: ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private# /32"[2]: ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32"[2]: ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<phase1> 000 "private-or-clear": [%myid] %opportunisticgroup; unrouted; eroute owner: #0 000"private-or-clear":ike_life:3600s;ipsec_life:3600s;rekey_margin:540s;rekey_fuzz:100%;keyingtries:3 000 "private-or-clear": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+failurePASS+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private-or-clear": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private-or-clear": IKE algorithms wanted:5_ ,5_ ,5_ ,5_ ,flags=-strict 000 "private-or-clear": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_ "private-or-clear": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private-or-clear": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 #1: "private# /32"[1] ===? STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_EXPIRE in 2505s; newest ISAKMP 000 #2: "private# /32"[2] STATE_QUICK_R2 (IPsec SA established); EVENT_SA_EXPIRE in 2505s; newest IPSEC; eroute owner 000 #2: "private# /32"[2] used 142s ago; esp.ef6acb3c@ esp.e1a00ff@ tun.1002@ tun.1001@ PC-PETRUS No PC com o nome de PETRUS (Cliente), primeiro iremos definir qual o IP a ser atribuído á maquina que neste caso será , para tal teremos de configurar o ficheiro interfaces (/etc/network) da seguinte forma: # /etc/network/interfaces configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback auto eth0 iface eth0 inet static

12 address netmask network broadcast O ficheiro ipsec.conf (/etc), não sofre qualquer alteração. Para se obter uma chave, é preciso gerá-la com o comando: $ipsec rsasigkey --verbose 2048 > mykey (ficando a chave guardada no ficheiro mykey, em seguida copia-se o ficheiro para ipsec.secrets) No ficheiro ipsec.secrets (/etc): : RSA { # RSA 2048 bits petrus Thu Mar 18 15:24: # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=[keyid AQN4IE7Eh] Modulus: [...] PublicExponent: [...] # everything after this point is secret PrivateExponent: [...] Prime1: [...] Prime2: [...] Exponent1: [...] Exponent2: [...] Coefficient: [...] } Para saber se está tudo a funcionar executa-se o comando: $ipsec verify --host xpto.pt No qual se espera obter: Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path Linux FreeS/WAN 2.04 Checking for KLIPS support in kernel Checking for RSA private key (/etc/ipsec.secrets) Checking that pluto is running Opportunistic Encryption DNS checks: Looking for TXT in forward map: miguel Does the machine have at least one non-private address? [FAILED] Para se verificar se o túnel esta estabelecido executa-se:

13 $ipsec_eroute No qual se espera obter: /0:0 -> /0:0 => %trap: /32:0 -> /32:0 => tun0x1002@ :0 Para se saber qual o tipo de encriptação usada pelo ipsec, basta fazer: $ipsec_spi E obtem-se o resultado : tun0x1001@ IPIP: dir=in src= policy= /32- > /32 flags=0x8<> life(c,s,h)= bytes(172959,0,0) addtime(2099,0,0) usetime (2099,0,0) packets (1953,0,0) idle=143 refcount=4 ref=280 tun0x1002@ IPIP: dir=out src= life(c,s,h)=bytes(313839,0,0) addtime (2099,0,0) usetime (2099,0,0)packets(1673,0,0) idle=143 refcount=4 ref=285 esp0xe1a00ff@ ESP_3DES_HMAC_MD5: dir=out src= iv_bits=64bits iv=0x67c9e dc ooowin=64 seq=1673 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(367384,0,0) addtime (2099,0,0) usetime (2099,0,0) packets (1673,0,0) idle=143 refcount =4 ref=286 esp0xef6acb3c@ ESP_3DES_HMAC_MD5: dir=in src= iv_bits=64bits iv=0x654123ac138c83f5 ooowin=64 seq=1953 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h) = bytes(172959,0,0) addtime(2099,0,0) usetime(2099,0,0) packets(1953,0,0) idle=143 refcount=1957 ref=281 Para saber o estado do ipsec : $ipsec auto status Ao qual obtemos o resultado: 000 interface ipsec0/eth %myid = debug none "block": [%myid] %group; unrouted; eroute owner: #0 000 "block": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "block": policy: TUNNEL+PFS+GROUP+GROUTED+REJECT+NEVER_NEGOTIATE+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "block": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "block": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "block": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "block": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "block": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "clear": [%myid] %group; unrouted; eroute owner: #0 000 "clear": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "clear": policy: TUNNEL+PFS+GROUP+GROUTED+PASS+NEVER_NEGOTIATE+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "clear": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "clear": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "clear": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "clear": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "clear": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "clear-or-private": [%myid] %opportunisticgroup; unrouted; eroute owner: #0 000 "clear-or-private": ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "clear-or-private": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+PASS+failurePASS+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "clear-or-private": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "clear-or-private": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "clear-or-private": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "clear-or-private": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict

14 000 "clear-or-private": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "packetdefault": /0=== [%myid] %opportunistic; prospective erouted; eroute owner: #0 000 "packetdefault": ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "packetdefault": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failurePASS+lKOD+rKOD; prio: 0,0; interface: eth0; 000 "packetdefault": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "packetdefault": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "packetdefault": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "packetdefault": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "packetdefault": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private": [%myid] %opportunisticgroup; unrouted; eroute owner: #0 000 "private": ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "private": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32": [%myid] %opportunistic=== /32; eroute eclipsed; eroute owner: #0 000 "private# /32": ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private# /32": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private# /32": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private# /32": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private# /32": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "private# /32": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private# /32": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32"[1]: [%myid] ; erouted; eroute owner: #2 000 "private# /32"[1]: ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private# /32"[1]: policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+failureDROP+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private# /32"[1]: newest ISAKMP SA: #1; newest IPsec SA: #2; 000 "private# /32"[1]: IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private# /32"[1]: IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "private# /32"[1]: IKE algorithm newest: 3DES_CBC_192-MD5-MODP "private# /32"[1]: ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private# /32"[1]: ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 "private# /32"[1]: ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<phase1> 000 "private-or-clear": [%myid] %opportunisticgroup; unrouted; eroute owner: #0 000 "private-or-clear": ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: "private-or-clear": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DONTREKEY+OPPORTUNISTIC+GROUP+GROUTED+failurePASS+lKOD+rKOD; prio: 32,0; interface: eth0; 000 "private-or-clear": newest ISAKMP SA: #0; newest IPsec SA: #0; 000 "private-or-clear": IKE algorithms wanted: 5_ , 5_ , 5_ , 5_ , flags=-strict 000 "private-or-clear": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2, 000 "private-or-clear": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict 000 "private-or-clear": ESP algorithms loaded: 3_168-1_128, 3_168-2_160, 000 #2: "private# /32"[1] STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE_IF_USED in 888s; newest IPSEC; eroute owner 000 #2: "private# /32"[1] used 60s ago; esp.e1a00ff@ esp.ef6acb3c@ tun.1002@ tun.1001@ #1: "private# /32"[1] STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE_IF_USED in 956s; newest ISAKMP 000