IPSEC_MANUAL(8) | System Manager's Manual | IPSEC_MANUAL(8) |
NAZWA¶
ipsec manual - podnoszenie i opuszczanie ręcznie kluczowanych połączeń IPSEC
SKŁADNIA¶
OPIS¶
Manual manipuluje ręcznie kluczowanymi połączeniami FreeS/WAN IPSEC, powodując ich pojawianie się i znikanie, bazując na informacji z pliku konfiguracyjnego IPSEC. W przypadku normalnego użycia, połączenie jest nazwą połączenia wyspecyfikowanego w pliku konfiguracyjnym; operacja to --up, --down, --route, lub --unroute. Manual tworzy ustawienia (--route lub --up) lub też porzuca (--down lub --unroute) za pomocą odpowiednich komend przekazywanych do wykonania powłoce.
Operacja --up ustanawia połączenie, włączając w to ustawienie odpowiedniej trasy jeśli jest to konieczne.
Operacja --route tylko ustawia pewną trasę dla połączenia. Dopóty, dopóki operacja --up nie jest zakończona pakiety kierowane tą trasą będą gubione.
Operacja --down porzuca wyszczególnione połączenie, wyłączając informacje o trasie (pozostawia trasę na miejscu). Dopóty, dopóki nie jest zakończona operacja --unroute pakiety kierowane tą trasą są gubione. Pozwala to wytwarzać kolejne połączenie do tego samego miejsca przeznaczenia bez żadnego ``okna'', przez które pakiety mogą przechodzić bez szyfrowania.
Operacja --unroute (i tylko operacja --unroute ) kasuje wszelkie trasy ustawione dla połączenia.
W użyciu --union, każda część jest nazwą cząstkowej specyfikacji połączenia w pliku konfiguracyjnym, i właśnie unia tychże cząstkowych specyfikacji jest używana jako pełna specyfikacja połączenia. Efekt jest uzyskany z połączenia w całość poszczególnych, częściowych specyfikacji; ograniczenia wynikające z powielających się łańcuchów, itd., mają oczywiście wpływ na rezultat. (Ten sam efekt może teraz być osiągnięty w bardziej wyrafinowany sposób, przy użyciu parametru also w opisach połączeń; obejrzyj ipsec.conf(5), gdzie znajdziesz więcej szczegółów.)
Opcja --show włącza opcję -x powłoki używanej do wykonywania poleceń, więc każda wykonywana komenda jest pokazywana.
Opcja --showonly sprawia, że manual pokazuje na standardowym wyjściu komendy, które by uruchomił, ale nie czyni tego.
Opcja --other sprawia, że manual udaje drugi koniec połączenia. Nie jest to zapewne użyteczne, chyba że w kombinacji z --showonly.
Opcja --iam sprawia, że manual wierzy w to, że jest uruchomiony na hoście z podanym adresem IP, a ponadto powinien użyć podanego interfejsu (zwykle wszystko to rozpoznaje automatycznie, bazując na informacjach o podniesionych interfejsach IPSEC i ich konfiguracji).
Opcja --config określa niestandardową lokalizację pliku konfiguracyjnego FreeS/WAN IPSEC (domyślnie /etc/ipsec.conf).
W ipsec.conf(5) znajdziesz szczegóły dotyczące pliku konfiguracyjnego.
Abstrahując od parametrów podstawowych, które określają punkty końcowe i trasowanie połączenia (left i right, plus możliwe leftsubnet, leftnexthop, leftfirewall, ich odpowiedniki right i być może type), połączenie typu non-passthrough polecenia manual potrzebuje parametru spi lub spibase i innych parametrów określających szyfrowanie, autentykację, albo obydwie te rzeczy na raz, najprościej esp, espenckey, i espauthkey. Umiarkowanie bezpieczne klucze mogą być pozyskane przy użyciu ipsec_ranbits(8). Przy wytwarzaniu połączeń ręcznie kluczowanych jest bardzo zalecane by klucze były trzymane w oddzielnym pliku (z prawami rw-------) używając mechanizmów include i also w pliku konfiguracyjnym (obejrzyj ipsec.conf(5)).
Jeśli podano parametr spi to manual używa tej wartości jako numeru SPI dla wszystkich SAs (które są i tak w oddzielnych przestrzeniach numeracji). Jeśli zamiast tego podano parametr spibase to manual przypisuje wartości SPI zamieniając górną cyfrę tej wartości; SAs idący od lewej do prawej przyjmuje równe cyfry zaczynające się od 0, SAs idący od prawej do lewej przyjmuje cyfry nieparzyste zaczynające się od 1.
PLIKI¶
/etc/ipsec.conf domyślny plik konfiguracyjny IPSEC
/var/run/ipsec.info informacja %defaultroute
ZOBACZ TAKŻE¶
ipsec.conf(5), ipsec(8), ipsec_spi(8), ipsec_eroute(8), route(8)
HISTORIA¶
Napisano dla projektu FreeS/WAN <http://www.xs4all.nl/~freeswan/> przez Henry'ego Spencera.
USTERKI¶
Wykrywanie i raportowanie błędów wciąż nie jest takie jak być powinno.
Nie jest zbyt dobrze i do końca opracowana składnia podsieci, adresów, itd. w zwykłych interfejsach użytkownika FreeS/WAN. Dla wszystkich adresów musi być używana czteroskładnikowa notacja dziesiętno-kropkowa. Jednak jest wystarczająco sprawny by przekształcać maski sieci w postaci licznika bitów do formy dziesiętno-kropkowej.
Jeśli specyfikacja połączenia zmienia się między --up i następującym później --down, to może wystąpić zamęt.
Operacja --up nie jest wystarczająco mądra, by sprawdzać czy połączenie nie jest czasami już ustanowione.
Manual nie jest wystarczająco mądry, by odrzucać niebezpieczne kombinacje algorytmów, np. szyfrowanie bez żadnej autentykacji.
Każda trasa nie-IPSEC do drugiego końca, która jest zastępowana przy użyciu operacji --up lub --route nie będzie ponownie ustanowiona przez --unroute. Czy to jest udogodnienie czy usterka zależy już od twojego punktu widzenia.
Opcjonalne parametry, które przesłaniają automatyczne, bazujące na spibase przypisanie SPI, są całkiem rozpierniczonym kawałkiem kodu i możliwe są błędy.
Obsługa ``Road warrior'' i innych specjalnych form ustawień wymagających negocjacji pomiędzy dwiema bramami bezpieczeństwa niestety nie może być dokonana przez manual.
12 grudnia 1999 |