Opportunistic Encryption: Difference between revisions

From
Jump to navigation Jump to search
No edit summary
No edit summary
Line 21: Line 21:


In der Datei befindet sich dann der DNS-Record:
In der Datei befindet sich dann der DNS-Record:



--DNS_RESOURCE_RECORDS--
--DNS_RESOURCE_RECORDS--
Line 27: Line 28:


--DNS_RESOURCE_RECORDS--
--DNS_RESOURCE_RECORDS--



Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in
Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in
die Datei
die Datei


/etc/ipsec.d/policies/clear
/etc/ipsec.d/policies/clear


in Form von
in Form von
Line 40: Line 42:


Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt.
Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt.



conn exclude-lo
conn exclude-lo

Revision as of 07:54, 9 September 2005

Hardware

Beliebige Rechner, auf denen Linux mit Kernel 2.4 oder 2.6 drauf läuft.

Software

FreeSwan oder OpenSwan auf zwei verschiedenen Rechnern und einen DNS-Server.

Mit Debian reicht ein

apt-get install openswan

oder ein

apt-get install freeswan

Keys erzeugen

Um DNS-Einträge mit Schlüsseln zu erzeugen nimmt man ipsec mailkey. Dieses Tool generiert eine ausführbare Datei in der die TXT Records stehen, die man in das Reverse-DNS eintragen muss.

ipsec mailkey --me test@localhost --reverse 10.0.23.2

In der Datei befindet sich dann der DNS-Record:


--DNS_RESOURCE_RECORDS--

2.23.0.10.in-addr.arpa. IN TXT "X-IPsec-Server(10)=10.0.23.2" "lakdfklajsdfoiweruo82347.... "

--DNS_RESOURCE_RECORDS--


Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in die Datei

/etc/ipsec.d/policies/clear

in Form von

a.b.c.d/32

ein.

Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt.


conn exclude-lo

   authby=never
   left=127.0.0.1
   leftsubnet=127.0.0.0/8
   right=127.0.0.2
   rightsubnet=127.0.0.0/8
   type=passthrough
   auto=route