Esse post visa apenas demonstrar algumas opções interessantes do ipsec.conf,, como por exemplo alterar algoritmos de criptografia, integraidade, etc...
Algoritmos de Criptografia e integridade Fase I:
ike=3des-md5
ike=3des-sha1
ike=aes-md5
ike=aes-sha1
para setar o dhgroup adicionar um -modp1024 por exemplo
ike=3des-md5-modp1024
Algoritmos de Criptografia e integridade Fase II (ESP):
(Detalhe, deve haver suporte no kernel para os algoritimos utilizados, geralmente 3des e AES ja vem por padrão na maioria das distros, mas no caso de blowfish, serpent, etc... é necessário habilitar)
esp=3des-md5
esp=3des-sha1
esp=aes-md5
esp=aes-sha1
PFS
Desabilitar
pfs=no
Habilitar
pfs=yes
Tipo de autenticação (RSA, PSK, etc..)
RSA
authby=rsasig
PSK
autby=secret
Status do túnel
Opção utilizada para setar em que estado o tunel iniciará.
Inicia automaticamente
auto=start
Somente adiciona o túnel mas não inicia a conexão
auto=add
Somente adiciona roteamento para o túnel, não carrega configurações nem inicia conexão
auto=route
Inicialização manual do túnel
auto=manual
Bom esse é um pequeno exemplo de alterações comuns para se criar um túnel, mais opções em: http://linux.die.net/man/5/ipsec.conf
mais opções úteis
Algoritmos de Criptografia e integridade Fase I:
ike=3des-md5
ike=3des-sha1
ike=aes-md5
ike=aes-sha1
para setar o dhgroup adicionar um -modp1024 por exemplo
ike=3des-md5-modp1024
Algoritmos de Criptografia e integridade Fase II (ESP):
(Detalhe, deve haver suporte no kernel para os algoritimos utilizados, geralmente 3des e AES ja vem por padrão na maioria das distros, mas no caso de blowfish, serpent, etc... é necessário habilitar)
esp=3des-md5
esp=3des-sha1
esp=aes-md5
esp=aes-sha1
PFS
Desabilitar
pfs=no
Habilitar
pfs=yes
Tipo de autenticação (RSA, PSK, etc..)
RSA
authby=rsasig
PSK
autby=secret
Status do túnel
Opção utilizada para setar em que estado o tunel iniciará.
Inicia automaticamente
auto=start
Somente adiciona o túnel mas não inicia a conexão
auto=add
Somente adiciona roteamento para o túnel, não carrega configurações nem inicia conexão
auto=route
Inicialização manual do túnel
auto=manual
Bom esse é um pequeno exemplo de alterações comuns para se criar um túnel, mais opções em: http://linux.die.net/man/5/ipsec.conf
mais opções úteis
Nenhum comentário:
Postar um comentário