[WL::Techniek] IPSEC / certs

Richard van Mansom richard at vanmansom.net
Wed May 14 15:11:48 CEST 2008


Hoi,

 

Eerste geprobeerd op Skype maar nu op de mail.

 

Voor de mensen die de laatste paar mails niet gelezen hebben:
Surfnet zegt dat OpenVPN waarschijnlijk kan draaien op de soekrissen, en dat
dit aan hun beveiliging eisen voldoet.
Een testje gedaan met OpenVPN. Maximaal zonder OpenVPN, 4.5Mb met
OpenVPN/TCP 1Mb/s. Er waren een aantal vrijwilligers die dachten dat IPSec
kon voldoen. Dus daar wil ik nu een test meer draaien. Dat is waar ik vast
loop.

 

Ik heb een aantal pagina's gevonden die omschrijven hoe je Ipsec tussen twee
hosts kan laten draaien. Alle die ik gevonden heb rade het gebruik van
Racoon aan. Dit is een programma's wat het hele proces voor je zou moeten
regelen (icm setkey). 

 

Het probleem is dat ik vastloop met de beveiliging. Ik krijg de verbinding
tot stand zonder foutmeldingen (aardig wat typefoutjes gehad welke
foutmeldingen veroorzaakte, dus er gebeurd wel wat, al is dat niet te zien
in de output). De twee mogelijke handleidingen die ik gevonden heb: 

 

zijn die aandacht besteden aan certificaten, bij deze is er geen connectie
meer in de tunnel, verkeer  komt niet door, tcpdump. 

 

Ook handleidingen die er van uit gaan dat setkey dit zou regelen. Die doet
wel een aantal beveiliging punten volgens zijn man page maar als ik verkeer
stuur over de tunnel is het ontversleuteld. Ik zie met een tcp dump op de
fysieke interface dat er ingepakte pakketten over de lijn gaan, ook als
voorbeeld bij een ping een icmp echo request en reply. Als ik dan bij een
TOP kijk zie ik weinig gebeuren wel bij elke ping een klein verschil in idle
maar Racoon blijft niets doen (vast op 0.00%)

 

Als ik in de gebruikte racoon conf file kijk zie ik dat er wel gebruik
gemaakt wordt van een cert directory. Echter heb ik daar niets staan (na het
volgen van verschillende handleidingen). De reden waarom ik denk dat het bij
certs ligt: bij gebruikte certs is er geen connectie meer wat een logisch
gevolg zou kunnen zijn bij een foute authenticatie (om te voorkomen dat er
geen onbeveiligdvekeer verstuurd wordt, dit is interpretatie niet gelezen).
Als ik dan zonder certificaten is er geen key om mee te versleutelen wat zou
resulteren in een onbeveiligde lijn. Wat uit gegeven voorbeeld bleek.

 

Ik heb ook wel een idee waar het probleem ligt:
de certs die ik gebruik zijn een server en een client certificaten (gemaakt
met openssl), deze werken zonder problemen bij de OpenVPN opstelling. Echter
je heb bij een enkele tunnel niet te maken met een client en een server je
hebt twee gelijke punten. Echter certificaten werken volgens mij volgens het
pki concept (Public Key Infrastructure) wat betekend dat je een public en
private key hebt voor de server en de node. Dit zou dus niet moeten werken
bij twee gelijke punten.

 

Iemand een idee?

 

Richard van Mansom

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lijst.wirelessleiden.nl/mailman/private/techniek/attachments/20080514/b9e9477c/attachment.htm 


More information about the Techniek mailing list