Interesujaca cecha pakietu FreeS/WAN jest mozliwosc szyfrowaniaa oportunistycznego ruchu pomiedzy komputerami uzywajacymi tego programu, co umozliwia szyfrowanie w sposob przezroczysty. Kazdy komputer musi posiadac klucz publiczny przeznaczony do uzycia z FreeS/WAN. Klucz ten mozna umiescic w rekordzie DNS TXT owego komputera.
Komputer uzywajacy szyfrowania oportunistycznego chce zainicjowac polaczenie szyfrwoane z innym komputerem, klucz publiczny komputera, z ktorym chce sie komunikowac, otrzyma za posrednictwem DNS i uzyje go do zainicjowania polaczenia.
Konfiguracje nalezy rozpoczac od utworzenia klucza dla kazdego komputera, ktory ma korzystac z tej mozliwosci.
Nalezy wydac polecenie :
zawartosc wyniku polecenia nalezy umiescic w pliku /etc/ipsec.secrets
Nastepnie tworzymy rekord TXT, ktory zostanie umieszczony w strefie DNS. Wykonujemy plecenie:
Rekord umieszczamy w strefie ktora uruchomimy ponownie.
Sprwadzamy, czy DNS dziala poprawnie:
Restart:
Od teraz mzna bedzie laczyc sie z kazdym komputerem uzywajac oportunistycznego szyfrowania. Aby komputery mogly nawiazac polaczenia z naszym komputerem nalezy rekord TXT naszego kompika umiescic w strefie odwrotnej DNS.
Generujemy owy rekord:
Owy rekord umieszcamy w strefie odwrotnej podsieci, co umozliwi innym kompom innicjowanie polaczen szyfrowanych oportunistycznie. Zabezpieczenie oportunistyczne szyfruje wszystkie pakiety automatycznie dlatego zabezpiecza rowniez wszystkie uslui owych komputerow =)
Komputer uzywajacy szyfrowania oportunistycznego chce zainicjowac polaczenie szyfrwoane z innym komputerem, klucz publiczny komputera, z ktorym chce sie komunikowac, otrzyma za posrednictwem DNS i uzyje go do zainicjowania polaczenia.
Konfiguracje nalezy rozpoczac od utworzenia klucza dla kazdego komputera, ktory ma korzystac z tej mozliwosci.
Nalezy wydac polecenie :
Kod:
# ipsec newhostkey --output /tmp/'hostname'.key
Kod:
# cat /tmp/'hostname'.key >> /etc/ipsec.secrets
Kod:
# ipsec showhostkey --txt @colossus.nnc
; RSA 2192 bits colossus Thue Feb 13 12:27:01 2007
IN TXT "X-IPsec-Server(10)[email protected]" "
AQOR7rM7ZMBXu2ej/1vt.......... itd. (crypted)
Sprwadzamy, czy DNS dziala poprawnie:
Kod:
# ipsec verify
checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is runing [OK]
DNS checks.
Looking for TXT in forward map: colossus [OK]
Does the machine have at least one non-private address [OK]
Kod:
# /etc/rc.d/rc.ipsec restart
(ubuntu /etc/init.d/ipsec restart)
Generujemy owy rekord:
Kod:
# ipsec showhostkey --txt 192.168.1.102
; RSA 2192 bits colossus Thue Feb 13 12:27:01 2007
IN TXT "X-IPsec-Server(10)=192.168.1.102" "
AQOR7rM7ZMBXu2ej/1vt.......... itd. (crypted)