Rabu, 04 November 2009

Mengaktifkan konfigurasi IPsec

Diposting oleh arin di 19.51

Pada tahap ini, konfigurasi dari aturan keamanan dan racoon sudah selesai, dan Anda bisa mulai menguji konfigurasi. Merupakan ide yang bagus untuk menjalankan racoon dengan parameter -F. Hal ini akan menjalankan racoon didepan layar (foreground), membuatnya lebih mudah untuk menangkap pesan kesalahan. Untuk menjalankannya:
# setkey -f /etc/setkey.conf
# racoon -F

Sekarang karena Anda telah menambahkan aturan keamanan pada basis data, dan menjalankan racoon, Anda bisa menguji konfigurasi IPsec Anda. Sebagai contoh, Anda bisa melakukan ping ke host lain sebagai permulaan. Pertama kali Anda melakukan ping, Anda akan menemui kegagalan:
$ ping 192.168.1.169
connect: Resource temporarily unavailable

Alasannya adalah karena asosiasi keamanan harus dibentuk. Tetapi paket ICMP akan memicu pertukaran kunci. Ping akan memicu pertukaran kunci. Anda bisa melihat apakah pertukaran berhasil atau tidak dengan melihat pada pesan log racoon pada /var/log/messages, atau hasil keluaran dari terminal jika Anda menjalankan racoon pada foreground. Pertukaran kunci yang sukses akan tampak seperti berikut:
Apr 4 17:14:58 terrapin racoon: INFO: IPsec-SA request for 192.168.1.169 queued due to no phase1 found.
Apr 4 17:14:58 terrapin racoon: INFO: initiate new phase 1 negotiation: 192.168.1.1[500]<=>192.168.1.169[500]
Apr 4 17:14:58 terrapin racoon: INFO: begin Aggressive mode.
Apr 4 17:14:58 terrapin racoon: INFO: received Vendor ID: DPD
Apr 4 17:14:58 terrapin racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Apr 4 17:14:58 terrapin racoon: INFO: ISAKMP-SA established 192.168.1.1[500]-192.168.1.169[500] spi:58c4669f762abf10:60593eb9e3dd7406
Apr 4 17:14:59 terrapin racoon: INFO: initiate new phase 2 negotiation: 192.168.1.1[0]<=>192.168.1.169[0]
Apr 4 17:14:59 terrapin racoon: INFO: IPsec-SA established: ESP/Transport 192.168.1.169->host1ip; spi=232781799(0xddff7e7)
Apr 4 17:14:59 terrapin racoon: INFO: IPsec-SA established: ESP/Transport 192.168.1.1->192.168.1.169 spi=93933800(0x59950e8)




Setelah pertukaran kunci, Anda bisa memastikan bahwa IPsec sudah dikonfigurasi dengan benar dengan menganalisa paket yang masuk dan keluar dengan tcpdump. tcpdump tersedia pada set disk n. Misalkan koneksi keluar ke host lain melalui antarmuka eth0, Anda bisa menganalisa paket yang melalui antarmuka eth0 dengan tcpdump -i eth0. Jika paket keluar dienkripsi dengan ESP, Anda bisa melihatnya pada hasil keluaran tcpdump. Sebagai contoh:
# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:27:50.241067 IP terrapin.taickim.net > 192.168.1.169: ESP(spi=0x059950e8,seq=0x9)
17:27:50.241221 IP 192.168.1.169 > terrapin.taickim.net: ESP(spi=0x0ddff7e7,seq=0x9)

 

0 komentar:

Posting Komentar

Subscribe to: Posting Komentar (Atom)