Red Hat Enterprise Linux 3: Guia de Administração de Sistemas | ||
---|---|---|
Anterior | Capítulo 19. Configuração de Rede | Próxima |
IPsec significa Internet Protocol Security (Segurança do Protocolo de Internet). É uma solução de Rede Privada Virtual (Virtual Private Network) na qual estabelece-se uma conexão criptografada entre dois sistemas (máquina-a-máquina) ou entre duas redes (rede-a-rede).
![]() | Dica |
---|---|
Visite http://www.ipsec-howto.org/ para mais informações sobre a IPsec. |
Uma conexão IPsec máquina-a-máquina é uma conexão criptografada entre dois sistemas, ambos rodando IPsec com a mesma chave de autenticação. Com a conexão IPsec ativa, qualquer rede entre as duas máqinas é criptografada.
Para configurar uma conexão IPsec máquina-a-máquina, use os seguintes passos para cada máquina:
Inicie a Ferramenta de Administração de Rede.
Na aba IPsec, selecione Nova.
Clique em Próximo para começar a configurar a conexão IPsec máquina-a-máquina.
Indique um apelido de uma só palavra, como ipsec0, para a conexão e selecione se esta deve ser automaticamente ativada quando o computador inicializa. Clique em Próximo.
Selecione Criptografia máquina a máquina como o tipo de conexão. Clique em Próximo.
Selecione o tipo de criptografia a usar: manual ou automática.
Se selecionar manual, deverá providenciar uma chave de criptografia posteriormente. Se selecionar automática, o daemon racoon é usado para administrar a chave de criptografia. Se o racoon é usado, o pacote ipsec-tools deve ser instalado.
Clique em Próximo para continuar.
Especifique o endereço IP da outra máquina.
Se você não sabe o endereço IP do outro sistema, execute o comando /sbin/ifconfig <device> no outro sistema, onde <device> é o dispositivo Ethernet usdao para conectar à outra máquina. Se existe apenas uma placa Ethernet no sistema, o nome do dispositivo é eth0. O endereço IP é o número seguindo a etiqueta inet addr:.
Clique em Próximo para continuar.
Se a criptografia manual foi selecionada no passo 6, especifique a chave de criptografia a usar ou clique em Gerar para criar uma.
Especifique uma chave de autenticação ou clique em Gerar para gerar uma. Pode ser qualquer combinação de números e letras.
Clique em Próximo para continuar.
Verifique as informações na página IPsec — Resumo e clique em Aplicar.
Selecione Arquivo => Salvar para salvar a configuração.
Selecione a conexão IPsec na lista e clique no botão Ativar.
Repita o processo na outra máquina. É muito importante que as mesmas chaves do passo 8 sejam usadas nas outras máquinas. Caso contrário, a IPsec não funcionará.
Após configurar a conexão IPsec, esta aparece na lista IPsec, conforme mostra a Figura 19-22.
São criados dois arquivos em /etc/sysconfig/network-scripts/ — ifcfg-<nickname> e keys-<nickname>. Se a criptografia automática é selecionada, o /etc/racoon/racoon.conf também é criado.
Quando a interface é ativada, <remote-ip>.conf e psk.txt são criados em /etc/racoon/, e racoon.conf é modificado para incluir o <remote-ip>.conf.
Consulte a Seção 19.14.3 para determinar se a conexão IPsec foi estabelecida com sucesso.
Uma conexão IPsec rede-a-rede usa dois roteadores IPsec, um para cada rede, através dos quais o tráfego de rede é roteado para sub-redes privadas.
Por exemplo: conforme a Figura 19-23, se a rede privada 192.168.0/24 deseja enviar tráfego para a rede privada 192.168.2.0/24, os pacotes passam através da porta de comunicação0, para ipsec0; através da Internet, para ipsec1, para porta de comunicação 1 e para a sub-rede 192.168.2.0/24.
Os roteadores IPsec devem ter endereços IP publicamnete endereçáveis, assim como um outro dispositivo Ethernet conectado à sua rede privada. O tráfego passa somente se for endereçado para o outro roteador IPsec, com o qual tem uma conexão criptografada.
Opções alternativas de configuração de rede incluem um firewall entre cada roteador IP e a Internet, e um firewall de Intranet entre cada roteador IPsec e a porta de comunicação da sub-rede. O roteador IPsec e a porta de comunicação da sub-rede podem ser um sistema com dois dispositivos Ethernet, um com um endereço IP público, que atua como o roetador IPsec; e um com um endereço IP privado, que atua como a porta de comunicação da sub-rede privada. Cada roteador IPsec pode usar a porta de comunicação de sua rede privada ou porta de comunicação pública para enviar os pacotes ao outro roteador IPsec.
Para configurar uma conexão IPsec rede-a-rede, siga os seguintes passos:
Inicie a Ferramenta de Administração de Rede.
Na aba IPsec, selecione Nova.
Clique em Próximo para começar a configurar a conexão IPsec rede-a-rede.
Indique um apelido de uma só palavra, como ipsec0, para a conexão e selecione se esta deve ser automaticamente ativada quando o computador inicializa. Clique em Próximo.
Selecione Criptografia rede-a-rede (VPN) e clique em Próximo.
Selecione o tipo de criptografia a usar: manual ou automática.
Se você selecionar a manual, deverá providenciar uma chave de criptogafia posteriormente. Se selecionar a automática, o daemon racoon é usado para administrar a chave de criptografia. Se usar o racoon, o pacote ipsec-tools deve ser instalado. Clique em Próximo para continuar.
Na página Rede Local, indique as seguintes informações:
Endereço da Rede Local — O endereço IP do dispositivo no roteador IPsec conectado à rede privada.
Máscara de Sub-rede Local — A máscara da sub-rede do endereço IP da rede local.
Porta de Comunicação da Rede Local — A porta de comunicação da sub-rede privada.
Clique em Próximo para continuar.
Na página Rede Remota, indique as seguintes informações:
Endereço IP Remoto — O endereço IP publicamente endereçável do roteador IPsec da outra rede privada. Em nosso exemplo, para o ipsec0, indique o endereço IP publicamente endereçável do ipsec1 e vice versa.
Endereço da Rede Remota — O endereço de rede da sub-rede privada por trás do outro roteador IPsec. Em nosso exemplo, indique 192.168.1.0 se configurar o ipsec1, e indique 192.168.2.0 se for configurar o ipsec0.
Máscara da Sub-rede Remota — A máscara da sub-rede do endereço IP remoto.
Porta de Comunicação da Rede Remota — O endereço IP da porta de comunicação do endereço da rede remota.
Se a criptografia manual foi selecionada no passo 6, especifique a chave de criptografia a usar ou clique em Gerar para criar uma.
Especifique uma chave de autenticação ou clique em Gerar para gerar uma. Pode ser qualquer combinação de números e letras.
Clique em Próximo para continuar.
Verifique as informações na página IPsec — Resumo e clique em Aplicar.
Selecione Arquivo => Salvar para salvar a configuração.
Selecione a conexão IPsec na lista e clique no botão Ativar.
Como root, em uma janela de comandos, habilite o encaminhamento do IP:
Edite /etc/sysctl.conf e defina net.ipv4.ip_forward para 1.
Execute o seguinte comando para habilitar a alteração:
sysctl -p /etc/sysctl.conf |
O script de rede para ativar a conexão IPsec cria automaticamente rotas de rede para enviar pacotes através do roteador IPsec, se necessário.
Consulte a Seção 19.14.3 para determinar se a conexão IPsec foi estabelecida com sucesso.
Use o utilitário tcpdump para visualizar os pacotes de rede sendo transferidos entre as máquinas (ou redes) e verifique se estão criptografados via IPsec. O pacote deve incluir um cabeçalho AH e deve ser exibido como pacotes ESP. ESP significa que está criptografado. Por exemplo:
17:13:20.617872 pinky.example.com > ijin.example.com: \ AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF) |
Se a conexão IPsec não foi configurada para ativar no momento da inicialização, inicie-a e pare-a, como root, através da linha de comandos.
Para iniciar a conexão, execute o seguinte comando, como root, em cada máquina para o IPsec máquina-a-máquina ou em cada roteador IPsec para a IPsec rede-a-rede (substitua <ipsec-nick> pelo apelido de uma só palavra configurado anteriormente, tal como ipsec0):
/sbin/ifup <ipsec-nick> |
Para parar a conexão, execute o seguinte comando, como root, em cada máquina para o IPsec máquina-a-máquina ou em cada roteador IPsec para o IPsec rede-a-rede (substitua <ipsec-nick> pelo apelido de uma só palavra configurado anteriormente, tal como ipsec0):
/sbin/ifdown <ipsec-nick> |