Opportunistic Encryption

From
Revision as of 07:59, 9 September 2005 by 192.168.4.128 (talk)
Jump to navigation Jump to search

Hardware

Beliebige Rechner, auf denen Linux mit Kernel 2.4 oder 2.6 drauf läuft.

Software

FreeSwan oder OpenSwan auf zwei verschiedenen Rechnern und einen DNS-Server.

Mit Debian reicht ein

apt-get install openswan 

oder ein

apt-get install freeswan

Keys erzeugen

Um DNS-Einträge mit Schlüsseln zu erzeugen nimmt man ipsec mailkey. Dieses Tool generiert eine ausführbare Datei in der die TXT Records stehen, die man in das Reverse-DNS eintragen muss.

ipsec mailkey --me test@localhost --reverse 10.0.23.2

In der Datei befindet sich dann der DNS-Record:

--DNS_RESOURCE_RECORDS--

2.23.0.10.in-addr.arpa. IN      TXT     "X-IPsec-Server(10)=10.0.23.2" "lakdfklajsdfoiweruo82347.... "

--DNS_RESOURCE_RECORDS--

Wenn man nun die Rechner die Records eingetragen hat, muss man noch dafür sorgen, dass DNS-Anfragen beim Aushandeln der Schlüssel nicht der OE zum Opfer fällt. Dazu trägt man am besten den DNS-Server in die Datei

/etc/ipsec.d/policies/clear

in Form von

a.b.c.d/32

ein.

Falls der DNS-Server lokal läuft sollte man Verschlüsselung auf dem lo-Deviceverbieten, indem man folgendes in die /etc/ipsec.conf einträgt.

conn exclude-lo
    authby=never
    left=127.0.0.1
    leftsubnet=127.0.0.0/8
    right=127.0.0.2
    rightsubnet=127.0.0.0/8
    type=passthrough
    auto=route
/pre>