Różnice

Różnice między wybraną wersją a wersją aktualną.

--- notatki:security_ipsec [2025/06/14 19:56] – administrator
+++ notatki:security_ipsec [2025/06/14 20:46] (aktualna) – administrator
@@ Linia 1: / Linia 1: @@
-====== IPsec ======
+====== Security: IPsec ======
 ===== Instalacja oprogramowania =====
@@ Linia 256: / Linia 256: @@
 ==== ESP z AES-CBC + HMAC-SHA1 ====
-<code txt setkey.conf_a_>
+<code bash setkey.conf_a_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny A
+## maszyna A (172.20.253.237)
-## flush SAD and SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA: A->B
-add 172.20.253.237 172.20.252.198 esp 0x1000 -E aes-cbc 0xaa223344556677889900aabbccddeeff -A hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.253.237 172.20.252.198 esp 0x1000 -E aes-cbc 0xaa223344556677889900aabbccddeeff -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-add 172.20.252.198 172.20.253.237 esp 0x2000 -E aes-cbc 0xbb223344556677889900aabbccddeeff -A hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA: B->A
+add 172.20.252.198 172.20.253.237 esp 0x2000 -E aes-cbc 0xbb223344556677889900aabbccddeeff -A hmac-sha1 0x11223344556677889900aabbccddeeff00112233;
-## add SPs in SPD
+## SPD: zabezpiecz wszystkie pakiety ESP w trybie transportowym
 spdadd 172.20.253.237 172.20.252.198 any -P out ipsec esp/transport//require;
-spdadd 172.20.252.198 172.20.253.237 any -P in  ipsec esp/transport//require;
+spdadd 172.20.252.198 172.20.253.237 any -P in ipsec esp/transport//require;
 </code>
-<code txt setkey.conf_b_>
+<code bash setkey.conf_b_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny B
+## maszyna B (172.20.252.198)
-## flush SAD i SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA: B->A
-add 172.20.253.237 172.20.252.198 esp 0x1000 -E aes-cbc 0xaa223344556677889900aabbccddeeff -A hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.252.198 172.20.253.237 esp 0x2000 -E aes-cbc 0xbb223344556677889900aabbccddeeff -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-add 172.20.252.198 172.20.253.237 esp 0x2000 -E aes-cbc 0xbb223344556677889900aabbccddeeff -A hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA: A->B
+add 172.20.253.237 172.20.252.198 esp 0x1000 -E aes-cbc 0xaa223344556677889900aabbccddeeff -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-## add SPs in SPD
+## SPD: zabezpiecz wszystkie pakiety ESP w trybie transportowym
-spdadd 172.20.253.237 172.20.252.198 any -P in  ipsec esp/transport//require;
 spdadd 172.20.252.198 172.20.253.237 any -P out ipsec esp/transport//require;
+spdadd 172.20.253.237 172.20.252.198 any -P in ipsec esp/transport//require;
 </code>
+{{.:pasted:20250614-201625.png}}
 ==== AH z HMAC-SHA1 ====
-<code txt setkey.conf_a_>
+<code bash setkey.conf_a_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny A
+## maszyna A (172.20.253.237)
-## flush SAD and SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA: A->B
-add 172.20.253.237 172.20.252.198 ah 0x1000 -E hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.253.237 172.20.252.198 ah 0x1000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-add 172.20.252.198 172.20.253.237 ah 0x2000 -E hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA: B->A
+add 172.20.252.198 172.20.253.237 ah 0x2000 -A hmac-sha1 0x11223344556677889900aabbccddeeff00112233;
-## add SPs in SPD
+## SPD: zabezpiecz wszystkie pakiety AH w trybie transportowym
-spdadd 172.20.253.237 172.20.252.198 any -P out ipsec esp/transport//require;
+spdadd 172.20.253.237 172.20.252.198 any -P out ipsec ah/transport//require;
-spdadd 172.20.252.198 172.20.253.237 any -P in  ipsec esp/transport//require;
+spdadd 172.20.252.198 172.20.253.237 any -P in ipsec ah/transport//require;
 </code>
-<code txt setkey.conf_b_>
+<code bash setkey.conf_b_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny B
+## maszyna B (172.20.252.198)
-## flush SAD i SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA: B->A
-add 172.20.253.237 172.20.252.198 ah 0x1000 -E hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.252.198 172.20.253.237 ah 0x2000 -A hmac-sha1 0x11223344556677889900aabbccddeeff00112233;
-add 172.20.252.198 172.20.253.237 ah 0x2000 -E hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA: A->B
+add 172.20.253.237 172.20.252.198 ah 0x1000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
+## SPD: zabezpiecz wszystkie pakiety AH w trybie transportowym
+spdadd 172.20.252.198 172.20.253.237 any -P out ipsec ah/transport//require;
+spdadd 172.20.253.237 172.20.252.198 any -P in ipsec ah/transport//require;
-## add SPs in SPD
-spdadd 172.20.253.237 172.20.252.198 any -P in  ipsec esp/transport//require;
-spdadd 172.20.252.198 172.20.253.237 any -P out ipsec esp/transport//require;
 </code>
+{{.:pasted:20250614-202037.png}}
 ==== ESP (AES-CBC) + AH (HMAC-SHA1) ====
-<code txt setkey.conf_a_>
+<code bash setkey.conf_a_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny A
+## maszyna A (172.20.253.237)
-## flush SAD and SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA ESP: A->B
-add 172.20.253.237 172.20.252.198 esp 0x1000 -E aes-cbc 0xaa223344556677889900aabbccddeeff;
+add 172.20.253.237 172.20.252.198 esp 0x3000 -E aes-cbc 0xaa223344556677889900aabbccddeeff;
-add 172.20.252.198 172.20.253.237 esp 0x2000 -E aes-cbc 0xbb223344556677889900aabbccddeeff;
+## SA ESP: B->A
+add 172.20.252.198 172.20.253.237 esp 0x4000 -E aes-cbc 0xbb223344556677889900aabbccddeeff;
-## add SAs in SAD
+## SA AH: A->B
-add 172.20.253.237 172.20.252.198 ah 0x1001 -E hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.253.237 172.20.252.198 ah 0x5000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-add 172.20.252.198 172.20.253.237 ah 0x2001 -E hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA AH: B->A
+add 172.20.252.198 172.20.253.237 ah 0x6000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
+## SPD: zabezpiecz pakiety ESP i AH w trybie transportowym
+spdadd 172.20.253.237 172.20.252.198 any -P out ipsec esp/transport//require ah/transport//require;
+spdadd 172.20.252.198 172.20.253.237 any -P in ipsec esp/transport//require ah/transport//require;
-## add SPs in SPD
-spdadd 172.20.253.237 172.20.252.198 any -P out ipsec esp/transport//require;
-spdadd 172.20.252.198 172.20.253.237 any -P in  ipsec esp/transport//require;
 </code>
-<code txt setkey.conf_b_>
+<code bash setkey.conf_b_>
 #!/usr/sbin/setkey -f
-## konfiguracja dla maszyny B
+## maszyna B (172.20.252.198)
-## flush SAD i SPD
 flush;
 spdflush;
-## add SAs in SAD
+## SA ESP: B->A
-add 172.20.253.237 172.20.252.198 ah 0x1000 -E hmac-sha1 0xaa223344556677889900aabbccddeeff;
+add 172.20.252.198 172.20.253.237 esp 0x4000 -E aes-cbc 0xbb223344556677889900aabbccddeeff;
-add 172.20.252.198 172.20.253.237 ah 0x2000 -E hmac-sha1 0xbb223344556677889900aabbccddeeff;
+## SA ESP: A->B
+add 172.20.253.237 172.20.252.198 esp 0x3000 -E aes-cbc 0xaa223344556677889900aabbccddeeff;
-## add SPs in SPD
+## SA AH: B->A
-spdadd 172.20.253.237 172.20.252.198 any -P in  ipsec esp/transport//require;
+add 172.20.252.198 172.20.253.237 ah 0x6000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
-spdadd 172.20.252.198 172.20.253.237 any -P out ipsec esp/transport//require;
+## SA AH: A->B
+add 172.20.253.237 172.20.252.198 ah 0x5000 -A hmac-sha1 0x00112233445566778899aabbccddeeff00112233;
+## SPD: zabezpiecz pakiety ESP i AH w trybie transportowym
+spdadd 172.20.252.198 172.20.253.237 any -P out ipsec esp/transport//require ah/transport//require;
+spdadd 172.20.253.237 172.20.252.198 any -P in ipsec esp/transport//require ah/transport//require;
 </code>
-==== Nagłówek ====
+{{.:pasted:20250614-202154.png}}
+==== Pytania ====
+=== Różnica pomiędzy konfiguracjami ESP a ESP+AH ===
+  * ESP chroni dane (szyfruje), ale nie chroni całego nagłówka IP.
+  * AH nie szyfruje, ale chroni integralność całego pakietu IP (z nagłówkiem).
+  * ESP+AH zapewnia poufność i integralność nagłówka i danych.
+=== Zastosowanie AH ===
+Przy połączeniach, gdzie ważna jest integralność całego nagłówka IP (np. dla systemów audytu lub gdzie niemożliwe jest użycie szyfrowania).
+===== Protokół IKE i strongSwan (PSK) =====
+==== Czyszczenie SAD i SPD ====
+Na mszynie A i B:\\
+<code bash>
+sudo setkey -F    # usuń wszystkie SA
+sudo setkey -FP   # usuń wszystkie SP
+</code>
+==== Konfiguracje ====
+=== Maszyna A ===
+/etc/ipsec.conf:\\
+<code>
+config setup
+    charondebug = "ike 1, knl 1, cfg 1"
+conn host-host
+    keyexchange=ikev2
+    authby=psk
+    left=172.20.253.237       # lokalny endpoint
+    leftsubnet=172.20.253.237/32
+    right=172.20.252.198      # zdalny endpoint
+    rightsubnet=172.20.252.198/32
+    ike=aes256-sha1-modp1024
+    esp=aes256-sha1
+    auto=add
+</code>
+/etc/ipsec.secrets:\\
+<code>
+.20.253.237 172.20.252.198 : PSK "SuperTajnyPSK"
+</code>
+=== Maszyna B ===
+/etc/ipsec.conf:\\
+<code>
+config setup
+    charondebug = "ike 1, knl 1, cfg 1"
+conn host-host
+    keyexchange=ikev2
+    authby=psk
+    left=172.20.252.198
+    leftsubnet=172.20.252.198/32
+    right=172.20.253.237
+    rightsubnet=172.20.253.237/32
+    ike=aes256-sha1-modp1024
+    esp=aes256-sha1
+    auto=add
+</code>
+/etc/ipsec.secrets:\\
+<code>
+.20.252.198 172.20.253.237 : PSK "SuperTajnyPSK"
+</code>
+==== Uruchomienie strongSwan i nawiązanie tunelu ====
+<code bash>
+administrator@ipsec-A:~$ sudo ipsec restart
+Stopping strongSwan IPsec...
+Starting strongSwan 5.9.5 IPsec [starter]...
+administrator@ipsec-A:~$ sudo ipsec up host-host
+initiating IKE_SA host-host[1] to 172.20.252.198
+generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
+sending packet: from 172.20.253.237[500] to 172.20.252.198[500] (1044 bytes)
+received packet: from 172.20.252.198[500] to 172.20.253.237[500] (344 bytes)
+parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
+selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
+authentication of '172.20.253.237' (myself) with pre-shared key
+establishing CHILD_SA host-host{1}
+generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
+sending packet: from 172.20.253.237[4500] to 172.20.252.198[4500] (412 bytes)
+received packet: from 172.20.252.198[4500] to 172.20.253.237[4500] (220 bytes)
+parsed IKE_AUTH response 1 [ IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) ]
+authentication of '172.20.252.198' with pre-shared key successful
+IKE_SA host-host[1] established between 172.20.253.237[172.20.253.237]...172.20.252.198[172.20.252.198]
+scheduling reauthentication in 9788s
+maximum IKE_SA lifetime 10328s
+selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
+CHILD_SA host-host{1} established with SPIs c4b20310_i c04d47dc_o and TS 172.20.253.237/32 === 172.20.252.198/32
+peer supports MOBIKE
+connection 'host-host' established successfully
+administrator@ipsec-A:~$ sudo setkey -D
+.20.253.237 172.20.252.198
+        esp mode=tunnel spi=3226290140(0xc04d47dc) reqid=1(0x00000001)
+        E: aes-cbc  7ed41201 e80a0bf4 fb871600 4cfcbfab 1e6e4fb3 c346376a 429d1575 1d58fc17
+        A: hmac-sha1  7a7a8e7d 7beaad8e 5f045ba1 45b42d7f bcc4de08
+        seq=0x00000000 replay=0 flags=0x00000000 state=mature
+        created: Jun 14 20:37:14 2025   current: Jun 14 20:37:52 2025
+        diff: 38(s)     hard: 3600(s)   soft: 2765(s)
+        last: Jun 14 20:37:14 2025      hard: 0(s)      soft: 0(s)
+        current: 3192(bytes)    hard: 0(bytes)  soft: 0(bytes)
+        allocated: 38   hard: 0 soft: 0
+        sadb_seq=1 pid=28477 refcnt=0
+.20.252.198 172.20.253.237
+        esp mode=tunnel spi=3300000528(0xc4b20310) reqid=1(0x00000001)
+        E: aes-cbc  b834b5fd 2412b9cf 9e4ac726 29160d9e afbb91b0 7b2aafd5 07fc4c67 052b7958
+        A: hmac-sha1  31564ba0 bfdb79ff 872d5e0b fc3079d4 ea43a976
+        seq=0x00000000 replay=32 flags=0x00000000 state=mature
+        created: Jun 14 20:37:14 2025   current: Jun 14 20:37:52 2025
+        diff: 38(s)     hard: 3600(s)   soft: 2819(s)
+        last: Jun 14 20:37:14 2025      hard: 0(s)      soft: 0(s)
+        current: 3192(bytes)    hard: 0(bytes)  soft: 0(bytes)
+        allocated: 38   hard: 0 soft: 0
+        sadb_seq=0 pid=28477 refcnt=0
+administrator@ipsec-A:~$ sudo setkey -DP
+.20.253.237[any] 172.20.252.198[any] 255
+        out prio high + 1073374593 ipsec
+        esp/tunnel/172.20.253.237-172.20.252.198/unique:1
+        created: Jun 14 20:37:14 2025  lastused: Jun 14 20:37:56 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=265 seq=1 pid=28510
+        refcnt=1
+.20.252.198[any] 172.20.253.237[any] 255
+        fwd prio high + 1073374593 ipsec
+        esp/tunnel/172.20.252.198-172.20.253.237/unique:1
+        created: Jun 14 20:37:14 2025  lastused:
+        lifetime: 0(s) validtime: 0(s)
+        spid=258 seq=2 pid=28510
+        refcnt=1
+.20.252.198[any] 172.20.253.237[any] 255
+        in prio high + 1073374593 ipsec
+        esp/tunnel/172.20.252.198-172.20.253.237/unique:1
+        created: Jun 14 20:37:14 2025  lastused: Jun 14 20:37:56 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=248 seq=3 pid=28510
+        refcnt=1
+(per-socket policy)
+        in(socket) none
+        created: Jun 14 20:34:15 2025  lastused: Jun 14 20:37:14 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=243 seq=4 pid=28510
+        refcnt=1
+(per-socket policy)
+        out(socket) none
+        created: Jun 14 20:34:15 2025  lastused: Jun 14 20:37:14 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=236 seq=5 pid=28510
+        refcnt=1
+(per-socket policy)
+        in(socket) none
+        created: Jun 14 20:34:15 2025  lastused: Jun 14 20:37:14 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=227 seq=6 pid=28510
+        refcnt=1
+(per-socket policy)
+        out(socket) none
+        created: Jun 14 20:34:15 2025  lastused: Jun 14 20:37:14 2025
+        lifetime: 0(s) validtime: 0(s)
+        spid=220 seq=7 pid=28510
+        refcnt=1
+(per-socket policy)
+        in(socket) none
+        created: Jun 14 20:34:15 2025  lastused:
+        lifetime: 0(s) validtime: 0(s)
+        spid=211 seq=8 pid=28510
+        refcnt=1
+(per-socket policy)
+        out(socket) none
+        created: Jun 14 20:34:15 2025  lastused:
+        lifetime: 0(s) validtime: 0(s)
+        spid=204 seq=9 pid=28510
+        refcnt=1
+(per-socket policy)
+        in(socket) none
+        created: Jun 14 20:34:15 2025  lastused:
+        lifetime: 0(s) validtime: 0(s)
+        spid=195 seq=10 pid=28510
+        refcnt=1
+(per-socket policy)
+        out(socket) none
+        created: Jun 14 20:34:15 2025  lastused:
+        lifetime: 0(s) validtime: 0(s)
+        spid=188 seq=0 pid=28510
+        refcnt=1
+administrator@ipsec-A:~$
+</code>
+===== Pytania =====
+==== Ile asocjacji SA zostało wynegocjowanych? ====
+W wyniku setkey -D widać dwie asocjacje ESP w bazie SAD (SPI 0xc04d47dc i 0xc4b20310) – po jednej dla każdego kierunku ruchu.
+=== Jaki rodzaj nagłówka IPSec i jaki tryb pracy został użyty dla stworzonych asocjacji SA? Jakie algorytmy zostały użyte? ===
+Zgodnie z logiem ipsec up host-host, wynegocjowano ESP w trybie tunelowym (ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ).
+Algorytmy: AES‑CBC 256‑bit dla szyfrowania oraz HMAC‑SHA1‑96 (96‑bitowy tag) dla uwierzytelnienia.
+=== Jaka jest długość użytego klucza dla poszczególnych algorytmów? ===
+AES‑CBC‑256 używa klucza o długości 256 bitów.
+HMAC‑SHA1‑96 wykorzystuje tag o długości 96 bitów (12 bajtów), choć sam klucz HMAC może być dłuższy (typowo 160 bitów), w logu widzimy 20 bajtów klucza, ale tag jest obcięty do 12 bajtów.
+=== W której fazie protokołu IKE użyty został współdzielony klucz PSK? ===
+Klucz PSK został użyty w fazie 1 (IKE_SA_INIT oraz IKE_AUTH) do uwierzytelnienia endpointów.
+=== Jakie polityki SPD zostały stworzone przez proces IKE? ===
+setkey -DP pokazuje cztery wpisy:
+dwa wpisy out i in dla tunelu ESP w trybie tunelowym (po jednej każda dla ruchu A→B i B→A) z reqid = 1 oraz flagą unique.
+dodatkowy wpis fwd związany z przekazywaniem pakietów.
+Polityki dotyczą ruchu 172.20.253.237[any] <-> 172.20.252.198[any] i mają priorytet „high”, operację ipsec esp/tunnel/.../unique:1.
+===== Analiza ruchu IKE w Wireshark =====
+Filtr: ''udp.port == 500 or udp.port == 4500''.
+W pakietach IKE_SA_INIT widać wymianę ofert SA (AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024) oraz kluczy DH.
+{{.:pasted:20250614-204344.png}}
+W IKE_AUTH pojawiają się IDi, IDr oraz AUTH payload z uwierzytelnieniem za pomocą PSK.
+{{.:pasted:20250614-204406.png}}

Kacper's Wiki

Narzędzia użytkownika

Narzędzia witryny

Różnice

Narzędzia strony