100 likes | 307 Views
Tunelowanie. Materiały:. http://www.cyber.com.pl/archiwum/12/11.shtml http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html „Cisco Receptury” wydawnictwo O’Reilly K.Dooley & I.J.Brown Konfiguracja pracujących systemów. Co to jest tunelowanie.
E N D
Materiały: • http://www.cyber.com.pl/archiwum/12/11.shtml • http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html • „Cisco Receptury” wydawnictwo O’Reilly K.Dooley & I.J.Brown • Konfiguracja pracujących systemów
Co to jest tunelowanie Tunelowanie to transport dowolnych pakietów w innych pakietach (w naszym przypadku w pakietach IP). Tunelowanie można porównać do przewożenia samochodów osobowych na ciężarówkach.
Do czego można użyć tunelowania • Bezpieczne połączenie kilku sieci lokalnych za pośrednictwem publicznych sieci rozległych, • Bezpieczne połączenie pracowników mobilnych z siecią korporacyjną, • Możliwość zmiany adresacji IP, • Możliwość ominięcia lokalnych ograniczeń (zabezpieczeń np. takich jak blokada portów, czy transparentny serwer proxy) • Ułatwienie konfiguracji w pewnych szczególnych przypadkach (protokół OSPF)
Rodzaje tunelowania: • Oczywiście istnieją różne protokoły służące do tunelowania. Najpopularniejsze z nich to: • PPTP, • GRE, • L2F, • L2TP,
Szyfrowanie tunelu Na poprzednich slajdach pojawiło się słowo BEZPIECZNY. Otóż sam w sobie tunel nie zwiększa bezpieczeństwa transmisji. Umożliwia jedynie połączenie ze sobą różnych sieci lokalnych w jednolitą sieć. Bezpieczeństwo zwiększa dopiero szyfrowanie tunelu. Jeśli przesyłamy dane tunelem bez szyfrowania – mimo wszystko łatwo je z niego wyłuskać.
Ciekawostki • Uwaga na pętle routingu (użycie dynamicznych protokołów routingu), • Jak sprawdzić stan tunelu ?? • Autoryzacja przy tworzeniu tunelu, • MTU w sieci zmniejsza się w przypadku użycia tunelu (fragmentowanie pakietów), • W wyniku zmniejszenia się MTU – mogą wystąpić kłopoty z poprawnym działaniem niektórych aplikacji
Tworzenie tunelu –router CISCO interface Tunnel1 ip address 172.16.1.129 255.255.255.252 keepalive 10 3 tunnel source 154.222.105.1 tunnel destination 154.222.106.194 ---------------------------------- interface Tunnel1 ip address 172.16.1.130 255.255.255.252 keepalive 10 3 tunnel source 154.222.106.194 tunnel destination 154.222.105.1
Tunel – FreeBSD - ipsec options IPSEC #IP security options IPSEC_ESP #IP security (crypto; define w/ IPSEC) --------------------------------------------------------------------------------------------------- /sbin/ifconfig gif0 create /usr/sbin/gifconfig gif0 194.242.104.5 83.16.97.114 /sbin/ifconfig gif0 inet 192.168.1.3 192.168.4.101 netmask 255.255.255.255 /usr/sbin/setkey -f /etc/ipsec.conf --------------------------------------------------------------------------------------------------- cat /etc/ipsec.conf spdadd 154.222.104.5/32 83.16.97.114/32 ipencap -P out ipsec esp/tunnel/154.222.104.5-83.16.97.114/require; spdadd 83.16.97.114/32 154.222.104.5/32 ipencap -P in ipsec esp/tunnel/83.16.97.114-154.222.104.5/require; --------------------------------------------------------------------------------------------------- psk.txt 1.2.3.4 tajne-haslo-do-tunelu
Tunel FreeBSD - pptp pptpd – zainstalowanie i uruchomienie demona ----------------------------------------------------------------------------------------------------------- /etc/ppp/ppp.conf pptp: set timeout 0 set dns 172.16.0.2 172.16.0.3 set ifaddr 172.16.255.1 172.16.255.10-172.16.255.254 # Pobieranie hasla z bazy danych, jesli nie ma go w ppp.secret # haslo nie zaszyfrowane # Koniecznosc uaktywnienia w kliencie windowsowym # passwdauth # enable pap # haslo z pliku ppp.secret # haslo kodowane enable chap ----------------------------------------------------------------------------------------------------------- /etc/ppp/ppp.secret username password