Opportunistic Encryption: Difference between revisions
No edit summary |
No edit summary |
||
| Line 8: | Line 8: | ||
Mit Debian reicht ein |
Mit Debian reicht ein |
||
<pre> |
|||
apt-get install openswan |
apt-get install openswan |
||
</pre> |
|||
oder ein |
oder ein |
||
<pre> |
|||
apt-get install freeswan |
apt-get install freeswan |
||
</pre> |
|||
=Keys erzeugen= |
=Keys erzeugen= |
||
| Line 18: | Line 22: | ||
Um DNS-Einträge mit Schlüsseln zu erzeugen nimmt man ipsec mailkey. Dieses Tool generiert eine ausführbare Datei in der die TXT Records stehen, die man in das Reverse-DNS eintragen muss. |
Um DNS-Einträge mit Schlüsseln zu erzeugen nimmt man ipsec mailkey. Dieses Tool generiert eine ausführbare Datei in der die TXT Records stehen, die man in das Reverse-DNS eintragen muss. |
||
<pre> |
|||
ipsec mailkey --me test@localhost --reverse 10.0.23.2 |
ipsec mailkey --me test@localhost --reverse 10.0.23.2 |
||
</pre> |
|||
In der Datei befindet sich dann der DNS-Record: |
In der Datei befindet sich dann der DNS-Record: |
||
<pre> |
|||
--DNS_RESOURCE_RECORDS-- |
--DNS_RESOURCE_RECORDS-- |
||
| Line 28: | Line 34: | ||
--DNS_RESOURCE_RECORDS-- |
--DNS_RESOURCE_RECORDS-- |
||
</pre> |
|||
Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in |
Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in |
||
die Datei |
die Datei |
||
<pre> |
|||
/etc/ipsec.d/policies/clear |
/etc/ipsec.d/policies/clear |
||
</pre> |
|||
in Form von |
in Form von |
||
<pre> |
|||
a.b.c.d/32 |
a.b.c.d/32 |
||
</pre> |
|||
ein. |
ein. |
||
| Line 43: | Line 53: | ||
Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt. |
Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt. |
||
<pre> |
|||
conn exclude-lo |
conn exclude-lo |
||
authby=never |
authby=never |
||
| Line 52: | Line 62: | ||
type=passthrough |
type=passthrough |
||
auto=route |
auto=route |
||
/pre></pre> |
|||
Revision as of 07:59, 9 September 2005
Hardware
Beliebige Rechner, auf denen Linux mit Kernel 2.4 oder 2.6 drauf läuft.
Software
FreeSwan oder OpenSwan auf zwei verschiedenen Rechnern und einen DNS-Server.
Mit Debian reicht ein
apt-get install openswan
oder ein
apt-get install freeswan
Keys erzeugen
Um DNS-Einträge mit Schlüsseln zu erzeugen nimmt man ipsec mailkey. Dieses Tool generiert eine ausführbare Datei in der die TXT Records stehen, die man in das Reverse-DNS eintragen muss.
ipsec mailkey --me test@localhost --reverse 10.0.23.2
In der Datei befindet sich dann der DNS-Record:
--DNS_RESOURCE_RECORDS-- 2.23.0.10.in-addr.arpa. IN TXT "X-IPsec-Server(10)=10.0.23.2" "lakdfklajsdfoiweruo82347.... " --DNS_RESOURCE_RECORDS--
Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in die Datei
/etc/ipsec.d/policies/clear
in Form von
a.b.c.d/32
ein.
Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt.
conn exclude-lo
authby=never
left=127.0.0.1
leftsubnet=127.0.0.0/8
right=127.0.0.2
rightsubnet=127.0.0.0/8
type=passthrough
auto=route
/pre>