ipsec(4)

• šifrovaný přenos autentických dat pomocí IP implementovaný v jádře
  Nebo aspoň něco z toho. Die, AH, die!
• uživatel nastaví, co se má jak zabezpečit
  v databázi bezpečnostních politik (Security Policy Database (SPD), flows)
• každý směr každé komunikace ze SPD musí "ožít" do podoby Security Association (SA)
  buďto je SA ručně přidaná staticky, nebo ji pravidelně vyměňuje key management daemon
  SAčka žijí v databázi zabezpečených spojení zvané Security Association Database (SAD)
• v Linuxu je implementací více (ipsec-tools, Openswan, FreeS/WAN, strongSwan)
  • strongSwaní představa o dokumentaci
  • Openswaní představa o dokumentaci

  # emerge -av openswan

  # yum install openswan nss-tools  ## Red Hat preferuje NSS, protože splňuje FIPS 140-2

SPD: Security Policy Database

• požadavky uživatele
  Konfigurace je v ipsec.conf(5), případně části v isakmpd.policy(5). Do kernelu je načte ipsecctl(8).

  # ipsecctl -f /etc/ipsec.conf
  # ipsecctl -sf	## "show flows"

  Místo ipsec.conf(5) můžete pořád použít mocnější a složitější INI isakmpd.conf(5).

  # ip xfrm policy
  ipsec.conf(5), ipsec.secrets(5), /etc/ipsec.d/

• manuální nastavování SPD se může hodit, chceme-li část ranku z šifrování vynechat

  flow esp from 172.16.258.12 to 192.0.2.24 type bypass

  # ip xfrm policy add src 172.16.258.12 dst 192.0.2.24 dir out action allow
  # ip xfrm policy add src 172.16.258.12 dst 192.0.2.24 dir in action allow

SAD: Security Association Database

• databáze aktivních spojení, na které se aplikuje IPsec
  SA je množina parametrů použitého protokolu (AH/ESP), která kompletně definuje služby a mechanismy k ochraně daného trafficu (např. šifrovací a hashovací algoritmus + šifrovací a autentizační klíč).
  Název SA je trojice (protokol, IP adresa, SPI).
  Buď je vyplníme ručně, nebo jsme rozumní a necháme přidávání/odstraňování na daemonovi.

  # ipsecctl -ss	## "show SAs"
  # netstat -rnf encap

  # ip xfrm state

• manuální nastavení SAD vizte v ipsec.conf(5) v sekci MANUAL SECURITY ASSOCIATIONS (SAs)

  # tohle bude samozřejmě "aktivní" pořád
  # nedělejte to
  esp from 172.16.258.12 to 192.0.2.24 spi ... auth ... enc ... authkey ... enckey ...

  # ip xfrm policy help

ISAKMP: Internet Security Association and Key Management Protocol

• protokol spravující v internetu SAčka a klíče (RFC 2408)
• framework navržený nezávisle na jednotlivých částech:
  • výměna klíčů: IKE (Internet Key Exchange), zde a u zkoušky IKEv1 (RFC 2409)
    V principu mohl místo IKE přijít Kerberos, ale nedošlo na to.
  • pro jaký protokol to SA vyjednávám? (Domain of Interpretation), zde ho podle RFC 2407 vyjednávám pro IPsec
    Když vám IANA schválí Vaše DoI, můžete použít ISAKMP pro svůj vlastní (ne-IPsec) protokol, a v něm svoji vlastní sadu bezpečnostních mechanismů (místo SHA1, DES, AES atd...).
• Perfect Forward Secrecy znamená, že prozrazení jednoho z klíčů neumožní rozšifrovat komunikaci šifrovanou kterýmkoli jiným.
• vyjednávání SAček pro Vaše požadavky je zabezpečené pomocí ISAKMP SA (a.k.a. main mode, phase 1)
  Při jakémkoli pozdějším nezdaru máme aspoň jeden bezpečný kanál jistý. Detaily na přednášce nebo v RFC 2408, sekce 4.5 (Identity Protection Exchange). Díky PFS je od sebe oddělena bezpečnost jednotlivých SA.
• vlastní vyjednávání Vašich SAček se jmenuje quick mode (také phase 2)
  v IPsec jsou SA jednosměrná, ISAKMP SA je obousměrné
• kromě toho se občas objeví Informational Exchange s chybovou hláškou (Notify payload, RFC 2408, sekce 3.14.1)
• pro zájemce (a uživatele Windows 7): IKEv2: RFC 5996, iked(8), ikectl(8), ikeman(1)
  + navíc podpora EAP a dalších; dříve se pro "IPsec na jméno a heslo" instaloval l2tpd

"...but Vint could never sell the CATENET name, just had too many... letters in it.
Uh, the military likes three-letter acronyms, so it became TCP/IP, and, y'know, it won."

(Van Jacobson)

isakmpd(8)/ipsec(8): pre-shared key, identifikace IP adresou

• nastavit ipsec.conf(5), na straně respondera přidejte "passive"

  ike [passive] esp from vic0 to 172.16.259.2 psk "potazmitasdigoat"

• spustit isakmpd(8) (nejdřív responder, potom initiator) a pomocí ipsecctl(8) mu předat konfiguraci

  # isakmpd -Kdv
  # ipsecctl -f /etc/ipsec.conf
  

• tohle funguje i ve Windows XP, ale krátký řetězec není zrovna doporučovaná metoda...
• s Openswanem na věčné časy, a nikdy jinak:

  # vi /etc/ipsec.conf
  ... odkomentovat include ipsec.d/*.conf
  # vi /etc/ipsec.d/pripojeni.conf
  conn pripojeni
  	authby=secret
  	auto=start
  	left=192.0.2.14
  	right=172.16.259.2
  # vi /etc/ipsec.d/my.precious.secrets
  192.0.2.14 172.16.259.2: PSK "potazmitasdigoat"
  # ipsec setup start
  # ipsec auto --add pripojeni
  # ipsec auto --up pripojeni
  

isakmpd(8): RSA klíče, identifikace IP adresou

• vytvořit na každé straně RSA klíče (po instalaci už je) a vyměnit si veřejné části

  # cd /etc/isakmpd
  # openssl genrsa -out private/local.key -pubout local.pub 2048
  # scp local.pub <druhá.strana>:/etc/isakmpd/pubkeys/ipv4/<moje.ip.v4.adresa>

• nastavit ipsec.conf(5) jako minule

  ike [passive] esp from 172.16.258.1 to 172.16.259.2

• spustit isakmpd(8) (nejdřív responder, potom initiator) a pomocí ipsecctl(8) mu předat konfiguraci

  # isakmpd -Kdv
  # ipsecctl -f /etc/ipsec.conf
  

• INVALID-ID-INFORMATION v main mode = špatné klíče/certifikáty/heslo
  v quick mode = špatná identifikace druhého konce ⇒ srcid/dstid
  RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]
• tohle Windows neumí :-(

ipsec(8): RSA klíče, identifikace IP adresou

• vytvořit na každé straně RSA klíče, vyměnit (ipsec.secrets(5)) a spustit

  # ipsec newhostkey --configdir /etc/pki/nssdb --verbose --output newkey
  ## --- tak, aby byl ten ": RSA { }" na začátku souboru (zase nějaký funky parser)
  # ipsec showhostkey --left ## nebo --right
  # ipsec showhostkey --left >> /etc/ipsec.d/pripojeni.conf
  

• ipsec.conf(5)

  conn koneksna
  	authby=rsasig
  	auto=start
  	left=192.0.2.2
  	leftrsasigkey=0sBORDELKTERYNECHAPUPROCNEMUZEBYTVEZVLASTNIMSOUBORU
  	right=192.0.2.5
  	rightrsasigkey=0sNEBOVNORMALNIMPEMFORMATUTAKJAKOVNORMALNICHIMPLEMENTACICH
  

• Ouha! Openswan generuje klíče v prapodivném base64-encoded formátu RFC 2537, který žádná rozumná utilita neschroustá.
• Odhad: asi 3 hodiny ladění kódu na úrovni cvičení z Programování I.
• Navíc používají schválně špatný exponent, v rámci "zrychlení" main mode.
  "We already have enough fast, insecure systems." -- Bruce Schneier
• Pokud to opravdu potřebujete, X.509 PKI (prý) funguje dobře.

isakmpd(8): RSA klíče, identifikace FQDN

• v ipsec.conf(5) upravte (a na druhém konci prohoďte ;-))

  ike [passive] esp from 172.16.258.1 to 172.16.259.2 \
      srcid stroj-i.doména.swi dstid stroj-j.doména.swi

• klíče dostupné např. v /etc/isakmpd/pubkeys/fqdn/stroj-j.doména.swi
• Hmm, můžu si vymyslet identitu: a k čemu je to dobré?
  Nemusím si pamatovat IP adresy při pohledu do logu/seznamu klíčů. Navíc, někteří klienti to posílají/vyžadují.
• Openswan:

  	leftid=@stroj-i.doména.swi

isakmpd(8): X.509 PKI

• kompletní návod je v isakmpd(8), můžete použít ikeman(1)

  # pkg_add -iv ikeman

• takhle vydáte všem svým koncovým uzlům jejich certifikáty (např.) na doménové jméno (subjectAltName) a bezpečně poznáte, kdo se to připojuje
• pozor, isakmpd(8) nepoužívá certifikáty se subjectAltName typu USER_FQDN, tj. ve tvaru "uživatel@doména.dom
• pozor, isakmpd(8) má rozbitou kontrolu revokačních seznamů
  poučení: nevěřte ničemu, co si nevyzkoušíte
• nahrajte CA certifikát do /etc/isakmpd/ca/, certifikáty obou konců do certs/ (tj. na road-warrior responderovi jich bude spousta)
• tohle ve Windows XP funguje, po dlouhém snažení

Více flows!

• máme session mezi dvěma stroji a za jedním je síť, do které bychom se rádi dostali

  ike from em0 to 10.0.0.0/8 peer 42.42.42.42 dstid brána.doména.swi

  # vi /etc/ipsec.d/virtlab.conf
  conn pripojeni
  	authby=secret
  	auto=start
  	left=192.168.NN.YY
  	right=42.42.42.42
  	rightid=@brána.doména.swi
  
  conn dalsi-flow
  	also=pripojeni
  	rightsubnet=10.0.0.0/8
  # ipsec setup start
  # ipsec auto --add pripojeni
  # ipsec auto --add dalsi-flow
  # ipsec auto --up pripojeni
  # ipsec auto --up dalsi-flow
  

• na straně respondera, "serveru"

  ike passive from vic0 to any srcid brána.doména.swi
  ike passive from 10.0.0.0/8 to any srcid brána.doména.swi

zbytky

• isakmpd.policy(5): omezování pomocí keynote(5) politik
• per-host (/etc/isakmpd/keynote/) nebo globálně:

  remote_filter != "000.000.000.000-255.255.255.255"

• mocné, naštěstí nebude potřeba
• chcete-li high-available IPsec gateway, můžete použít sasyncd(8) spolu s carp(4), který sdílí flows a SAs mezi více stroji
• chcete-li ve svem programu pouzivat IPsec transport, staci zavolat spravny setsockopt(2) a pockat, az se vam vyjednaji SA (nebo je vyjednat sami)

ikev2

• isakmpd sa -> ike sa (IKE_SA_INIT, IKE_AUTH), quick mode -> child sas (CREATE_CHILD_SA, INFORMATIONAL)
• cookies -> message id

IKEv2: PKI commands

iked in /etc/iked/private, strongSwan in /etc/ipsec.d/private.

• Generate private key

  iked: # openssl genrsa -out local.key 2048
  strongSwan: # ipsec pki --gen > local.key.der

• Make public key from it

  iked: # openssl rsa -out ../local.pub -in local.key -pubout
  strongSwan: # ipsec pki --pub --in local.key.der > local.pub.der

  (convert it to a proper format)

  openssl rsa -pubin -in local.pub.der -inform DER -outform PEM -out local.pub

• Create a CSR from it

  iked: # openssl req -new -key /etc/iked/private/local.key -out potazmo.csr
  strongSwan:

• Issue a certificate from the CSR

  iked: ikeman(1) or otherwise
  strongSwan: # cat local.pub | ipsec pki --issue --cacert ca.crt --cakey ca.key --dn "C=CZ,O=virtlab,CN=potazmo.virtlab.swi" --san potazmo.virtlab.swi > potazmo.csr

• Certificate requirements for Windows 7

IKEv2 - volný pohyb po lokální síti

K zamyšlení: Které proměnné ovládá klient? Jak do nich dostane řetězec "; rm -rf /; echo"?

# cat > /etc/ipsec.d/updown.sh
#!/bin/sh
POLICY_ADD="/usr/bin/sudo /bin/ip xfrm policy add"

case "${PLUTO_VERB}" in
"up-client-v6")
	if [ "${PLUTO_CONNECTION}" = "vpn-mynetwork" ]; then
		logger $PLUTO_VERB adding xfrm allow policies for $PLUTO_CONNECTION at $PLUTO_PEER
		${POLICY_ADD} src "${PLUTO_MY_CLIENT}" dst "${PLUTO_MY_CLIENT}" dir in action allow
		${POLICY_ADD} src "${PLUTO_MY_CLIENT}" dst "${PLUTO_MY_CLIENT}" dir out action allow
	fi
	;;
esac

# vi /etc/ipsec.conf
[...]
conn vpn-mynetwork
	# inspirace z /usr/libexec/ipsec/_updown
	leftupdown=/etc/ipsec.d/updown.sh
[...]

# visudo
ipsec ALL=(root) NOPASSWD: /bin/ip

# vi /etc/ipsec.conf
[...]
flow esp from MUJ_ROZSAH to MUJ_ROZSAH type bypass
[...]