Diplomski Rad 684

8/20/2019 Diplomski Rad 684

http://slidepdf.com/reader/full/diplomski-rad-684 1/88

SVEUČILIŠTE U ZAGREBUFAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

DIPLOMSKI RAD br. 684

PRILAGODBA KONFIGURACIJA ZADEMONSTRACIJU I PROVJERU RADA

PROGRAMSKOG PAKETA STRONGSWANU SUSTAVU IMUNES

Matej Bub je!"#

Za$reb% &"'a j ()*4.



Sadržaj

1. Uvod....................................................................................................................................2. StrongSwan.........................................................................................................................

2.1. Značajke strongSwana................................................................................................2.2. Osiguravanje mreže....................................................................................................2.3. IPsec i IK ..................................................................................................................2.!. "utenti#ikacija...........................................................................................................2.$. Kon#iguracijske datoteke..........................................................................................

2.$.1. i%sec.con#............................................................................................132.$.2. i%sec.secrets........................................................................................1&2.$.3. i%sec.d.................................................................................................1'2.$.!. strongswan.con#..................................................................................1'2.$.$. (ermino)ogija......................................................................................21

2.&. Po*ivanje i održavanje..............................................................................................2.+. ,ogiranje i nadg)edanje.............................................................................................

2.+.1. Kon#iguracija )ogera...........................................................................232.-. PKI............................................................................................................................2.'. Kon#iguracije uda)jenog %ristu%a..............................................................................2.1 . Kon#iguracije mreža/%rema/mreži............................................................................2.11. Kon#iguracije 0ost/%rema/0ostu...............................................................................

3. Pri%rema oko)ine *a testiranje %rogramskog %aketa strongSwan.....................................3.1. Insta)acija sustava Imunes.........................................................................................

3.1.1. ekom%aj)iranje ree S4 kerne)a u* mogu5nost kori6tenja 7I8"92+

3.2. Insta)acija %rogramskog %aketa strongSwan.............................................................!. (estiranje scenarija u Imunesu..........................................................................................

!.1. Uvodni %rimjer..........................................................................................................!.2. a#/a)g.........................................................................................................................

!.2.1. rw/cert.................................................................................................3$!.3. gcr:%t/ikev2..............................................................................................................

!.3.1. rw/cert.................................................................................................3-

!.!. ike..............................................................................................................................



!.-.&. %roto%ort/dua).....................................................................................-1!.-.+. rw/cert.................................................................................................-3

$. Zak)jučak..........................................................................................................................&. ,iteratura...........................................................................................................................+. Sažetak..............................................................................................................................

1 U!"d

U ovom radu je o<ra=eno testiranje ra*ni0 IPsec scenarija %omo5u %rogramskog %aketa strongSwan u sustavu Imunes. StrongSwan je 7P> rje6enje otvorenog kodateme)jeno na IPsec/u. U idu5em %og)av)ju 5e se deta)jnije o<jasniti 6to je to i kako radistrongSwan te koje se kon#iguracijske datoteke koriste. 4a)je 5e se korak %o korak o<jasniti %ostu%ak insta)acije sustava Imunes te samog %rogramskog %aketa strongSwan. >akon toga s)ijedi %rovjera rada i demonstracija <rojni0 testni0 scenarija te %ri)agod<akon#iguracija.

Imunes jeopen-source mrežni emu)ator?simu)ator računa)ni0 mreža. (o je %rogramkoji s)uži *a simu)iranje ra*)ičiti0 mreža i mrežni0 to%o)ogija u stvarnom vremenu@ teomogu5uje ra*voj novi0 %rotoko)a@ %roučavanje %rometa i us%oredas)už<enim stranicama strongSwana ve5 %ostoje ra*ni testni scenariji u* ra*ne mrežneto%o)ogije koji 5e se koristiti odnosno is%ro<avati u ovom radu. U* nji0 tako=er do)a*e ikon#iguracijske datoteke %ojedini0 čvorova@ is%isi na kon*o)i i re*u)tati testova. e*u)tatiovog rada očitavat 5e se i sku%om svi0 ti0 testni0 scenarija u o<)iku datoteka na računa)u.Za svaki testni scenarij je na%rav)jen %ose<an direktorij u kojemu 5e se na)a*iti datotekato%o)ogije mreže i* Imunesa s eksten*ijom.imn@ kon#iguracijske datoteke koje 5e skri%tako%irati na virtua)ne čvorove@ te sama skri%ta.

$

# S$r"%&S'a%

StrongSwan je %rogramski %aket otvorenog koda teme)jen na IPsec/u *a ,inuAove 2.&i 3.A kerne)e. okus %rojekta je na jakim autenti#ikacijskim me0ani*mima koriste5icerti#ikate s B.$ ' javnim k)jučevima. Kori6tena ver*ija strongSwana u ovom radu je$.1.3.

# 1 Z%a(aj)* +$r"%&S'a%a

• adi na ,inuAovim 2.& i 3.A kerne)ima@ "ndroidu@ 8aemou@ ree S4/u i 8"C OS

B/u• Podržava i u %ot%unosti im%)ementira %rotoko)e IK v2.• Pot%uno testirana %odr6ka IPv& IPsec tune)ski0 i trans%ortni0 ve*a.• 4inamičko o<nav)janje IP adrese i suče)ja s IK v2 8O IK .• Provo=enje >"(/a %reko U4P enka%su)acije i %ortova.• 4etekcija mrtvi0 čvorova D Dead Peer Detection @ 4P4E rje6ava )a<ave tune)e.• Statičke virtua)ne IP adrese i IK v1 ModeConfig pull i push metode.• unkciona)nost B"U(F %os)užite)ja i k)ijenta %reko IK v1 g)avnog načina

autenti#ikacije.• IK daemon i)i SG, <a*a %odataka u%rav)ja <a*enom virtua)ni0 IP adresa.• Sigurna IK v2 "P korisnička autenti#ikacija D "P/SI8@ "P/"K"@ "P/(,S@

"P/8SCF"Pv2@ itd.E.• O%ciona)no %reno6enje "P %oruka do """ %os)užite)ja %reko EAP-RADIUS

plugina .• Podr6ka *a IK v2 Multiple Authentication Exchanges .• "utenti#ikacija teme)jena na B.$ ' certi#ikatima i)i Pre-Shared- e! DPSKE

metodom.• 4o0vat i )oka)no s%remanje )iste o%o*vani0 certi#ikata DCertificate Re"ocation

#ists$ C ,E %reko F((P/a i)i ,4"P/a.• Pot%una %odr6ka OCSP/a D%nline Certificate Status Protocol E.• U%rav)janje C"/ovima DOCSP i C , U I/ji@ *adani ,4"P %os)užite)jE.• Haka IPsec %ravi)a <a*irana na *amjenskim i)i %osrednim C"/ovima.• Po0rana S" %rivatni0 k)jučeva i certi#ikata na %ametnim karticama DPKCS 11

suče)jeE.• 8odu)arni plugino"i *a kri%togra#ske a)goritme i suče)ja re)acijski0 <a*a %odataka.• Podr6ka *a 4F gru%e i C4S" certi#ikate.

&

• O%ciona)ni ugra=eni testovi integriteta *a plugino"e i <i<)ioteke.• ,inuA deskto% integracija %reko strongSwan &et'or(Manager a%)eta.

# # O+,&-ra!a%j* .r*ž*

StrongSwan je 7P> D7irtua) Private >etworkE rje6enje teme)jeno na IPsecu DInternetProtoco) Securit:E otvorenog koda. Pruža enkri%ciju i autenti#ikaciju %os)užite)jima ik)ijentima. 8ože se koristiti *a osiguravanje komunikacije s uda)jenim mrežama.

S)ika 1 J Prim)er mre*e

• Gateway uređaj +ate'a! ure=aj je o<ično vatro*id@ a)i to može <iti <i)o koji čvor

u mreži. >a testnim scenarijima u Imunesu se *a gate'a! ure=aj koristeusmjerite)ji. >a s)ici 1 čvorovimoon i sun s)uže kao gate'a! ure=aji %rema

internim čvorovimaalice i bob @ res%ektivno.• Udaljeni pristup / Pokretni klijenti Pokretni k)ijenti su o<ično )a%to%i i drugi

mo<i)ni ure=aji koji se uda)jeno s%ajaju na neku mrežu koriste5i njen gate'a!

ure=aj. >a s)ici 1carol %redstav)ja %okretnog k)ijenta koji že)i %ristu%iti nekoj od

dvije mreže i*a svakog gate'a! ure=aja.• Udaljeni čvorovi / Host -prema-host u Ovo može <iti uda)jeni %os)užite)j i)i

,ac(up sustav. Ovaj s)učaj je i)ustriran na s)ici 1 %omo5u čvoruwinnetou i nekim

od dva gate'a! ure=aja. 7e*a i*me=u dva čvora se o<ično može inicirati s <i)o kojestrane.

• Udaljena mreža / Mreža-prema-mreži Lvorovi u dvije i)i vi6e %odmreža na

ra*)ičitim )okacijama <i si tre<a)i me=uso<no mo5i %ristu%iti. Ponovo re#eriraju5i

+

na s)iku 1@ dvije %odmreže 1 .1. . ?2! i 1 .2. . ?2! i*a gate'a! ure=ajamoon i

sun @ res%ektivno@ mogu <iti %ove*ane tako da čvorovialice i bob mogu sigurno

komunicirati jedno s drugim.

# / IP+*0 , IKE

IPsec je sku% %rotoko)a *a osiguravanje IP komunikacije autentikacijom i6i#riranjem svakog IP %aketa u komunikacijskoj sesiji. S)uži kao sigurnosna o%cija *a IPv!dok je sastavni dio %rotoko)a IPv&. IPsec uk)jučuje %rotoko)e *a us%ostavu o<ostraneautenti#ikacije i*me=u agenata na %očetku sesije i %rotoko)e *a %regovaranje okri%togra#skim k)jučevima koji 5e se koristiti tokom sesije. IPsec se može koristiti u *a6titi

toka %odataka i*me=u %ara čvorova Dhost-to-host E@ i*me=u %ara sigurnosni0 gate'a!

ure=aja Dnet'or(-to-net'or( E@ i)i i*me=u sigurnosnog gate'a! ure=aja i čvora Dnet'or(-to-

host E. unkcionira unutar mrežnog s)oja te osigurava tajnost@ integritet@ autenti#ikaciju ine%orecivost. Po6to %rotoko) IP osigurava us)ugu komunikacijskog kana)a od kraja dokraja Deng. end/to/endE@ *a6tita kana)a na istoj ra*ini kori6tenjem IPsec/a omogu5ava muneovisnost o<*irom na niže s)ojeve. (o *nači da komunikacijski ure=aji na %utu i*me=udvaju entiteta ne moraju %održavati IPsec@ 6to omogu5ava kori6tenje IPsec/a <e* o<*ira na

način im%)ementacije #i*ičkog s)oja Deng. %0:sica) )a:erE i s)oja %rijenosa %odataka Deng.data )ink )a:erE. S druge strane@ uko)iko dva krajnja entiteta %održavaju IPsec@ njegovau%ora<a je trans%arentna o<*irom na vi6e s)ojeve %rotoko)nog stoga. "%)ikacije mogukoristiti sigurnu komunikaciju koju %ruža IPsec@ <e* o<*ira na v)astitu #unkciona)nost. Istose odnosi i na %rotoko)e koji su im%)ementirani u trans%ortnom s)oju Deng. trans%ort )a:erE@6to *nači da svi %odatci koji se %renose kori6tenjem %rotoko)a (CP i U4P@ isto kao i IC8P %oruke@ mogu koristiti sigurni komunkacijski kana) koji %ruža IPsec.

-

S)ika 2 J Polo*a) IPsec-a u odnosu na CP IP stog proto(ola$ odnosno %SI referentni model

Za6tita %odataka na ra*ini IP/a o<u0va5a sku% %rotoko)a koji čine IPsec ar0itekturu.Protoko)i *a *a6titu %odataka %okrivaju dio te ar0itekture@ i odnose se na %rimjenu

Authentication /eader D"FE i Encapsulating Securit! Pa!load D SPE dodatni0 IP*ag)av)ja.

Zaglavlje za provjeru autentičnosti D"FE osigurava da ne do=e do %romjene sadržajadatagrama %ri)ikom %rijenosa i <rine o autentičnosti datagrama@ odnosno daje jamstvo da je %rim)jeni datagram odas)an s i*vori6ne IP adrese. (re<a na%omenuti da "F *ag)av)je nes)uži *a %ovjer)jivost?tajnost %odataka. Ono samo jamči identitet %o6i)jate)ja te da %orukanije mijenjana@ me=utim@ svi su %odatci i da)je čit)jivi na ra*ini %aketa. 4a <i se *a6titi)atajnost %odataka@ mora se koristiti SP *ag)av)je.

Zaštita tajnosti ostvaruje se SP *ag)av)jem koje osigurava %rivatnost %odataka i

integritet datagrama. Prijenos %odataka se vr6i na s)jede5i način na i*vori6noj stranidatagrami se sastoje od 6i#riranog i ne6i#riranog dije)a. 4atagrami se usmjeravaju dokrajnjeg korisnika i svaki usmjerite)j tijekom %uta is%ituje osnovno IP *ag)av)je i dodatna*ag)av)ja koja nisu 6i#rirana. Posredni usmjerite)ji tijekom %uta ne is%ituju 6i#rirane %odatke@ ve5 se tek na %rijamnoj strani u* ova *ag)av)ja is%ituju i 6i#rirani %odatci@ koji %ret0odno moraju de6i#rirati na teme)ju SP *ag)av)ja@ tako da samo )egitimni %o6i)jate)jmože %ročitati %odatke.

'

IPsec de#inira dva osnovna načina rada. (o su trans%ortni način rada te tune)iranje.O<a %rotoko)a@ "F i SP@ mogu se koristiti u trans%ortnom načinu rada i)i *a tune)iranje.(ako=er@ mogu5e je@ u s)učaju %otre<e *a dodatnim %odi*anjem ra*ine sigurnosti@ koristiti kom<inaciju o<a %rotoko)a.

Transportni način rada J >amijenjen je %rvenstveno *a us%ostavu sigurne komunikacijei*me=u entiteta@ odnosno t*v.host-to-host komunikacije u %rivatnim ,"> i)i M">računa)nim mrežama. Za trans%ortni način rada nužno je da o<je krajnje točke Di*vor iodredi6teE %održavaju IPsec. Kori6tenjem %rotoko)a "F i SP mogu5e je %osti5i ra*)ičiteas%ekte sigurne komunikacije.

Tunelski način rada J (une)iranje je drugi način rada i)i druga #unkciona)nost %rotoko)a

IPsec. U tom načinu rada IPsec s)uži *a us%ostavu sigurne komunikacije i*me=u gate'a!ure=aja na uda)jenim mrežama Deng. gate'a!-to-gate'a! E@ osiguravaju5i tako virtua)nu %rivatnu komunikaciju@ odnosno us%ostav)jaju5i 7P> s%oj i*me=u uda)jeni0 )okacija. Uovom s)učaju krajnji entiteti u komunikaciji ne moraju %održavati IPsecN čitavakomunikacija *a nji0 je %ot%uno trans%arentna jer sve o%eracije nužne *a sigurnukomunikaciju kori6tenjem IPsec/a o<av)jaju gate'a! ure=aji. +ate'a! ure=aji nauda)jenim mrežama %redstav)jaju u)a*nu@ odnosno i*)a*nu točku sigurnog

komunikacijskog kana)a. Oni %reko nesigurnog medija DInternetE #ormiraju sigurni tune)@*<og čega se ovaj način rada i *ove tune)iranje Ds)ika 3E.

S)ika 3 J uneliran)e

Za ra*)iku od trans%ortnog načina rada gdje se "F odnosno SP *ag)av)ja dodaju unutar %ostoje5eg IP datagrama@ kod tune)iranja se #ormira %ot%uno novi IP datagram kojienka%su)ira kom%)etni origina)ni IP datagram.

Ovisno o *a0tjevima korisnika@ me0ani*am *a6tite D6i#riranje i de6i#riranjeE se može

%rovesti nad %odatcima trans%ortnog s)oja %od na*ivomtransport-mode SP i)i nad cije)im %aketom %od na*ivomtunnel-mode SP.

1

IK D Internet e! Exchange J %rotoko) *a ra*mjenu k)jučeva %reko internetaE jestandardni %rotoko) *a us%ostavu sigurne IPsec komunikacije. Protoko) je im%)ementiran

kom<iniranjem neko)iko %ostoje5i0 %rotoko)aN na %rvom mjestu IS"K8P@ te Oak)e: i %rotoko)a SK 8 . Protoko) IS"K8P@ s%eci#icira in#astrukturu *a autenti#ikaciju ira*mjenu k)jučeva. Protoko) je o<)ikovan tako da je neovisan o načinu ra*mjene k)jučeva@odnosno može %održati ra*ne metode *a ra*mjenu k)jučeva. Protoko) Oak)e: o%isujenačine ra*mjene k)jučeva Deng. modesE@ te deta)je i us)uge koje svaki od ti0 načina %ruža.SK 8 je tako=er %rotoko) koji o%isuje način ra*mjene k)jučeva i koji osiguravaanonimnost@ a <a*iran je na starijem %rotoko)u P0oturis.

Us%ostava IPsec komunikacije kori6tenjem %rotoko)a IK sastoji se od dvije osnovne #a*eus%ostave IK DIS"K8PE S" sku%a sigurnosni0 %arametara i us%ostave IPsec S" sku%asigurnosni0 %arametara kori6tenjem IK S". Uo<ičajeno je da se *a IK komunikacijukoristi U4P %ort $ .

StrongSwan je u osnovidaemon *a kodiranje koji koristi Internet e! Exchange

%rotoko)e DIK v1 i IK v2E da <i ostvario sigurnosne %ove*nice D securit! associations J S"E i*me=u dva čvora. IK %ruža jaku autenti#ikaciju o<a čvora i i*vodi jedinstvenekri%togra#ske k)jučeve *a sesiju. Osim autenti#ikacije i ra*mjene k)jučeva@ IK tako=er %ruža mogu5nost ra*mjene in#ormacija o kon#iguraciji i dogovora o IPsec S"/ovima kojise najče65e *ovu CFI,4;S"/ovi. IPsec S"/ovi de#iniraju koji mrežni %romet 5e seosigurati i kako 5e se kri%tirati i autenti#icirati.

CFI,4;S" se sastoji od dvije kom%onente@ IPsec S"/a koji o%isuje a)goritme i k)jučevekori6tene *a enkri%ciju i autenti#ikaciju %rometa te %ravi)a koja de#iniraju koji mrežni %romet 5e koristiti takav S". Pravi)a rade u o<a smjera@ odnosno@ samo %romet koji se %odudara sa do)a*nim %ravi)ima 5e se do%ustiti nakon de6i#riranja.

# A-$*%$,2,)a0,ja

Kako <i se osigura)o da čvor s kojim je IK ;S" us%ostav)jen stvarno je onaj *a kojeg tvrdida je@ mora se autenti#icirati. StrongSwan %ruža neko)iko metoda *a to

11

• Publi !e" #ut$enti ation Ova metoda koristi S" i)i C4S" B.$ ' certi#ikate

da <i %otvrdi)a autentičnost čvora./ Certi#kati mogu <iti samo%ot%isani u kojem s)učaju moraju <iti insta)irani

na svim čvorovima@ i)i %ot%isani od strane certi#ikacijskog tije)a DC" J Certi#icate "ut0orit:E. Ovaj drugi način %uno %ojednostavnjuje ra*voj ikon#iguraciju %o6to gate'a! ure=aji tre<aju samo C" certi#ikat kako <iautenticira)i sve čvorove koji daju va)jani certi#ikat %ot%isan od strane togC".

/ Certificate Re"ocation #ists DC ,s J )iste o%o*vani0 certi#ikataE i)i%nline

Certificate Status Protocol DOCSPE se mogu koristiti u %ostu%ku %rovjereva)janosti certi#ikata.

/ Pametne kartice se mogu koristiti %reko PKCS 11 plugina *a sigurnosk)adi6tenje %rivatni0 k)jučeva.

/ Kako <i se s%riječi)i na%adi ti%aman-in-the-middle @ certi#ikat mora %otvrditiidentitet čvora %omo5u %o)ja subject i)i subjectAltName .

Pre-%$ared-!e" &P%!' PSK je dije)jena tajna koja se %odije)i i*me=u dvije strane

%omo5u sigurnosnog kana)a %rije njene u%otre<e.- "ko %uno korisnika *na PSK D6to je često s)učaj s IK v1 Baut0 sa PSKE@

svaki korisnik koji *na tajnu može imitirati gate'a! ure=aj. Stoga ovametoda nije %re%oručena *a 6iroku u%ora<u.

()tensible #ut$enti ation Proto ol &(#P' "P %okriva neko)iko mogu5i0autenti#ikacijski0 metoda. >eki se teme)je na autenti#ikaciji korisničkim imenom i)o*inkom D "P/84$@ "P/8SCF"Pv2@ "P/9(CE i)i %reko certi#ikata D "P/(,SE@ a neki čak mogu tune)irati druge "P metode D "P/((,S@ "P/P "PE.

- Sama autenti#ikacija korisnika se može %ovjeriti %os)užite)ju "4IUS sea%/radius pluginom .

- "P autenti#ikacija se može koristiti s IK v2 i nekim metodama s IK v1 %omo5u xauth-eap plugina .

e*tended #ut$enti ation &*#ut$' B"ut0 %ruža #)eksi<i)ni autenti#ikacijski okvir unutar IK v1. >ajvi6e se koristi *a autenti#ikaciju teme)jenu na korisničkom imenui )o*inci. (ako=er@ genera)no se koristi kao sekundarna autenti#ikacijska metoda@nakon *ajedničke autenti#ikacije %omo5u certi#ikata i)i u* PSK. U* IK v1 0i<ridnuautenti#ikaciju je@ me=utim@ mogu5e autenti#icirati gate'a! ure=aj s certi#ikatom ikoristiti B"ut0 da <i se autenti#icirao samo k)ijenta.

U* IK v2 je mogu5e koristiti vi6e autentikacijski0 krugova@ na %rimjer@ %rvo autenti#icirati

strojeve %omo5u certi#ikata i onda korisnika %omo5u autenti#ikacije teme)jene na

12

korisničkom imenu i )o*inci Dn%r. "P/8SCF"Pv2E. (ako=er je mogu5e koristitiasimetričnu autenti#ikaciju@ na %rimjer@ autenti#iciraju5i gate'a! ure=aj %omo5u certi#ikatai k)ijenta %omo5u "P metode teme)jene na korisničkom imenu i )o*inci Du %rvomautenti#ikacijskom kruguE.

# 3 K"%2,&-ra0,j+)* da$"$*)*

Kon#iguracijske datoteke koje strongSwan koristi su s)jede5e

• ipsec.conf s)uži *a kon#iguraciju IPsec ve*a• ipsec.secrets sadrži tajne Ddije)jeni k)jučevi@ %rivatni k)jučeviE• ipsec.d s%rema certi#ikate i %rivatne k)jučeve•

strongswan.conf s)uži *a kon#iguraciju g)o<a)ni0 %ostavki

# 3 1 ,4+*0 0"%2

StrongSwanova kon#iguracijska datotekaipsec.conf se sastoji od tri ra*)ičite sekcije

/ config setup J de#inira genera)ne kon#iguracijske %arametre/ conn <name> - de#inira ve*u/ ca <name> - de#inira certi#ikacijsko tije)o

8ože %ostojati samo jednaconfig setup sekcija te neograničen <rojconn i ca sekcija.

Svi %arametri koji %ri%adaju nekoj sekciji moraju <iti uvučeni <arem jedan ra*mak i)ita<u)ator. Ostatak )inije nakon *naka se smatra komentarom. Komentari unutar sekcijetako=er moraju <iti uvučeni.

,inija koja sadržiin lude %ra5ena imenom datoteke se *amjenjuje sadržajem te datoteke."ko ime datoteke nije %uni %ut do datoteke@ smatra se re)ativnim %rema direktoriju kojisadrži uk)jučuju5u datoteku. (akve ink)u*ije se mogu gnije*diti. Imena datoteke moguuk)jučivati vi6e*načnike@ na %rimjerinclude ipsec.*.conf

ipsec.conf: config setup

O%cije sekcijeconfig setup se dije)e na standardne o%cije i stare o%cije koje se odnose

na stariju ver*iju strongSwana@ odnosno %rije $. . . O%isane su samo o%cije kori6tene uostatku rada. Pot%uni %o%is svi0 im%)ementirani0 %arametara config setup sekcije se

može %rona5i u0tt% ??wiki.strongswan.org?%rojects?strongswan?wiki?Con#igSetu%Section.

cachecrls = yes | no

13

http://wiki.strongswan.org/projects/strongswan/wiki/ConfigSetupSection

http://wiki.strongswan.org/projects/strongswan/wiki/ConfigSetupSection

• "ko je ova o%cija uk)jučena@ C ,/ovi koji su do0va5eni %reko F((P/a i)i

,4"P/a 5e se s%remiti u ipsec.d/crls/ %od jedinstvenim imenom

datoteke i*vedenim i* javnog k)juča certi#ikacijskog tije)a.

strictcrlpolicy = yes | ifuri | no

• .4e#inira mora )i svježa ko%ija C ,/a mora <iti dostu%na kako 

conn sekcija sadrži s%eci#ikaciju ve*e@ de#iniraju5i mrežnu ve*u koja 5e se ostvariti

koriste5i IPsec.auto = ignore | add | route | start

• Add učitava ve*u <e* njene us%ostave.oute učitava ve*uN ako se detektira

%romet i*me=u )ijeve i desne %odmreže@ ve*a se us%ostav)ja.!tart

učitava ve*u i us%ostav)ja je odma0.Ignore ignorira ve*u. Ovo je jednako

kao i <risanje ve*e i* kon#iguracijske datoteke. e)evantno samo )oka)no@druga strana se ne mora s)ožiti s tim.

"eye#change = ike | i"e$% | i"e$&

• 8etoda ra*mjene k)jučevaN koji %rotoko) <i se tre<ao koristiti *a

inicija)i*aciju ve*e.

"eyingtries = 3 | 'number( | )fore$er

• 4e#inira ko)iko %uta 5e se %oku6ati us%ostaviti ve*a i)i *amjenska ve*a %rije

odustajanja. 7rijednost)fore$er *nači da nikad ne odustane. e)evantno

samo )oka)no@ druga strana se ne mora s)ožiti.

left|rightcert = 'path(

• Put do B.$ ' certi#ikata )ijevog?desnog čvora. Ova datoteka može <iti

kodirana kao +, i)i + #ormat. O%enP9P certi#ikati su tako=er %održani.

I a%so)utni i re)ativni %utevi %remaipsec.d/certs su %ri0vat)jivi.

left|rightid = 'id(

1!

• Kako <i )ijevi?desni čvor tre<ao <iti identi#iciran *a autenti#ikaciju. 8ože

<iti IP adresa@ G48 i)i e/mai) adresa i)i"eyid .

left|rightsubnet = 'ip subnet( 'proto/port( 0...

• Privatna %odmreža i*a )ijevog?desnog čvora@ %rika*ana kao mreža?maska.

left|right = 'ip address( | 'f1dn( | )any | range | subnet

• Havna IP adresa čvora. 7rijednost)any o*načava adresu da se u<aci tokom

%regovora. "ko )oka)ni čvor inicija)i*ira %ostav)janje ve*e@ ta<)icausmjerivanja 5e is%itivati kako 

ca sekcije su o%ciona)ne sekcije koje se mogu koristiti *a dodije)jivanje %ose<ni0 %arametara certi#ikacijskom tije)u DC"E.

Z<og toga 6todaemon automatski uvo*i C" certi#ikate i*ipsec.d/cacerts @ nema

%otre<e eks%)icitno i0 dodavati %omo5uca sekcije@ osim ako že)ite dodije)iti %ose<an

%arametar Dkao C ,E C"/u. Parametri koje koristimo su

cacert = 'path(

• 4e#inira %ut %rema C" certi#ikatu re)ativno %remaipsec.d/cacerts i)ikao a%so)utni %ut.

crluri = 'uri(

• 4e#inira i*vor C ,/a D,4"P@ F((P i)i U IE

auto = ignore | add

Ponovno korištenje postoje+i$ parametara

Sve conn i ca sekcije nas)je=uju %arametre de#inirane uconn )default i)i ca

)default sekciji@ res%ektivno.

Parametri de#inirani u drugimconn i ca sekcijama mogu <iti uk)jučeni u sekciju %omo5u

also=othersection %arametra.

Primjer

2 /usr/local/etc/ipsec.conf- strong!wan I sec configuration file

config setup

1$

cachecrls=yes strictcrlpolicy=yes

ca strongswan 2define alternati$e 3 4 distribution point cacert=strongswan3ert.pem crluri=http5//crl&.strongswan.org/strongswan.crl

auto=add

conn )default "eyingtries=% "eye#change=i"e$&

conn roadwarrior leftsubnet=%6.%.6.6/%7 leftcert=moon3ert.pem leftid=8moon.strongswan.org right=)any auto=add

# 3 # ,4+*0 +*0r*$+

StrongSwanova datotekaipsec.secrets sadrži neograničen <roj s)jede5i ti%ova tajni

• S" J de#inira S" %rivatni k)juč• C4S" J de#inira C4S" %rivatni k)juč• P12 J de#inira PKCS 12• PSK J de#inira dije)jeni k)juč•

"P J de#inira "P akreditive• >(,8 J de#inira >(,8 akreditive• B"U(F J de#inira B"U(F akreditive• PI> J de#inira PI> %ametne kartice

a*mak na kraju )inije se ignorira. >a %očetku )inije i)i %os)ije ra*maka@ *nak i %rate5itekst do kraja )inije se smatra komentarom.

Include direktiva u*rokuje da se sadržaj imenovane datoteke %rocesira %rije nastav)janja strenutnom datotekom. Ime datoteke može sadržavati *amjenske datoteke@ tako da se svakadatoteka s %odudaraju5im imenom %rocesira. Uk)jučivanja se trenutno mogu gnije*diti dodu<ine od 1 . "ko ime datoteke ne %očinje sa *nakom ? @ direktorij u kojem je trenutnadatoteka se dodaje na %očetak tog imena.

, selektori

Prije svake tajne se može navesti )ista o%ciona)ni0 I4 se)ektora. (a dva dije)a su odvojenadvotočjem D E koje je okruženo ra*makom. "ko nije oda<ran niti jedan I4 se)ektor@ )inija

mora %očeti s dvotočjem.

1&

Se)ektor je IP adresa@ G48 D u)): Gua)i#ied 4omain >ameE@ userQ G4>@0an! i)i0an!1 . IP adresa se može na%isati u svom standardnom o<)iku i)i kao ime domene koje 5ese %rona5i nakon 6to se datoteka učita. U mnogo s)učajeva je kori6tenje imena domena )o6aideja *<og toga 6to %ostoji 6ansa da 4>S %os)užite)j nije %okrenut i)i da je nesiguran. Kako <i se o<i)ježio G48 Dnas%ram o<i)ježavanja IP adrese %omo5u imena domeneE@ %rijeimena je %otre<no dodati *nak Q .

4a <i se I4/evi %ove*a)i sa se)ektorima@ oni moraju <iti jednaki. U s)učaje ve*e Road

2arrior D Road 2arrior je %ojam koji o*načava *a%os)enika koji nije u <)i*ini svog %odu*e5a@ a)i tre<a koristi resurse i* %odu5a kao da su )oka)ni@ a može se s%ojiti s <i)o kojIP adreseE@ ako se ne %rona=e %odudaranje *a I4 nekog čvora koji je u o<)iku IP adrese@

se)ektor0an! 5e odgovarati IP adresi čvora ako se koristi IPv! i0an!1 5e odgovarati IPadresi čvora ako se koristi IPv&. (renutno@ *astarje)a notacija . . . se može koristiti namjestu0an! .

Kada se koristi IK v1@ stvar se dodatno kom%)icira u s)učaju autenti#ikacije dije)jenomtajnom Deng. %res0ared ke:E Onaj koji odgovara na *a0tjev 5e tre<ati %rona5i tajnu %rije no6to se koristan teret I4/a čvora može dekodirati %a 5e kori6teni I4 <iti IP adresa.

4a <ismo autenti#icira)i ve*u i*me=u dvahosta @ unos koji se koristi je onaj koji najvi6e

odgovara I4/evimahosta i čvora. Unos koji ne sadrži se)ektore 5e se %odudarati s <i)okojimhostom i čvorom. (očnije@ unos s jednim se)ektorom 5e %ove*atihosta i čvor akose)ektor odgovara I4/uhosta Dčvor se ne ra*matraE. Ho6 točnije@ unos s vi6e se)ektora 5e %ove*atihosta i čvor ako se I4/evihosta i čvora %odudaraju svatko s jednim se)ektorom."ko se koristi asimetrična autenti#ikacijska metodu Dn%r. sustav javnog k)juča %o%ut S"E@unos s vi6e se)ektora 5e %ove*atihosta i čvor čak iako nji0ovi se)ektori ne odgovarajunji0ovim I4/evima. 4va čvora 5e se %ove*ati dok god nji0ovi %rivatni k)jučevi odgovaraju

svojim %arovima javni0 k)jučeva i* %os)ani0 certi#ikata."utenti#ikacija %omo5u dije)jene tajne *a0tjeva da o<a sustava %rona=u identičnu tajnuDtajna se *a%ravo ne %renosi %rotoko)om IK E. "ko unos na jednom i)i o<a čvora sadrživi6e se)ektora@ da <i se oni %ove*a)i %otre<no je da u o<a unosa %ostoji se)ektor čiji je I4 jednak jednom od ta dva čvora. (i I4/evi ne moraju <iti isti@ odnosno@ unos jednog čvoramože sadržavati I4 se)ektor drugog čvora te unos drugog čvora može sadržavati I4se)ektor %rvog čvora@ a ve*a 5e se o%et us%je6no ostvariti. Isto tako@ unos jednog čvora

može sadržavati I4 se)ektor tog čvora@ dok unos drugog čvora sadrži I4 se)ektor tog

1+

drugog čvora@ a ve*a 5e se o%et us%je6no ostvariti. Ova metoda se koristi i u ve5imgru%ama koje dije)e istu tajnu. Unosi s vi6estrukim se)ektorima su naj<o)ji *a PSK autenti#ikaciju.

"utenti#ikacija %omo5u javni0 k)jučeva %o%ut S" *a0tjeva da svakihost ima svoj %rivatnik)juč. >orma)no@host može koristiti ra*)ičite %rivatne k)jučeve *a ra*)ičita suče)ja i *ara*)ičite čvorove. 8e=utim@ ne <i <i)o norma)no dije)iti unose i*me=u sustava. Zato o<)iciunosa <e* se)ektora i s jednim se)ektorom imaju najvi6e smis)a *a autenti#ikaciju javnimk)jučem.

Primjer

2 /usr/local/etc/ipsec.secrets - strong!wan I sec secrets file

%9&.%7:.6.% )any 5 !; <$ N"#>944?$wj@133&o/g rB C&d&%j4<

5 !A moon;ey.pem

alice8strongswan.org 5 +A <#D.d+hgN<

carol 5 EAFGH <@i3h#4GD<

da$e 5 EAFGH <ryft @A<

2 get secrets from other filesinclude ipsec.*.secrets

# 3 / ,4+*0 d

StrongSwanov i%sec.d? direktorij sadrži ra*ne certi#ikate i C , datoteke koji seučitavaju %omo5udaemona %)uto i c0aron. S)jede5i %oddirektoriji su trenutnode#inirani

• private J sadrži datoteke s S" i C4S" %rivatnim k)jučevima. Daemoni 5e

učitati samo datoteke navedene u unosu uipsec.secrets datoteci.• erts J sadrži B.$ ' i)i P9P certi#ikate.• rls J sadrži C , )iste.• a erts J sadrži vjerodostojne C" certi#ikate. Daemoni i0 učitavaju

automatski. Pose<ni %arametri Dkao adrese na kojima se mogu do0vatiti )isteo%o*vani0 certi#ikataE se mogu dodije)iti C" s o%ciona)nomca sekcijom u

ipsec.conf .• o sp erts J sadrži vjerodostojne OCSP %ot%isane certi#ikate.• aa erts J sadrži vjerodostojne "" Dauthori3ation authorit! E certi#ikate.• a erts J sadrži atri<utne certi#ikate.

1-

• re.s J sadrži PKCS 1 *a0tjeve *a certi#ikacijom.

# 3 +$r"%&+'a% 0"%2

Pregled4ok je ipsec.conf kon#iguracijska datoteka %rigodna *a de#iniranje kon#iguracijski0

%arametara ve*ani0 u* IPsec@ nije korisno da druge strongSwanove a%)ikacije čitaju o%cijei* ove datoteke. 4atoteka je te6ka *a %arsirati i samoipsec starter je s%oso<an to na%raviti.Starter %okre5e@ *austav)ja i kon#igurira IKdaemone . ijetko se %o*iva direktno ve5 sekoristi ipsec nared<a. Lita i %arsiraipsec.conf kon#iguracijsku datoteku i %redaje

kon#iguracijudaemonima koriste5i stro(e Dma)i %omo5ni a)at %o*van od straneipsec da

kontro)ira i nadg)eda IPsec ve*eE i'hac( Dde,ug a)at u komandnoj )iniji *a kontro)iranje %)utodaemona E. Kako se <roj kom%onenti strongSwan %rojekta nastav)ja %ove5avati@ <i)a je %otre<na #)eksi<i)nija kon#iguracijska datoteka koja se )ako %ro6iri i koju mogu koristitisve kom%onente. >ovi kon#iguracijski #ormat se sastoji od 0ijerar0ijski0 sekcija i )iste %arova k)juč?vrijednost u svakoj sekciji. Zadanastrongswan.conf datoteka se insta)ira

u sysconfdir .

%intaksa

Svaka sekcija ima ime@ i*a kojeg s)ijede vitičaste *agrade de#iniraju5i tije)o sekcije. Svakotije)o sekcije sadrži sku% %odsekcija i %arova k)juč?vrijednost

settings 5= Jsection|"ey$alueK*section 5= name L settings M"ey$alue 5= "ey = $alue n

Kraj vrijednosti se o*načava %omo5u o*nake *a novu )iniju D Rn E. Komentari su mogu5i u*kori6tenje *naka @ a)i o%re*no im%)ementacija %arsera je trenutno ograničena i ne vo)*agrade u komentarima. Imena i k)jučevi sekcije mogu sadržavati <i)o koji %rinta<i)ni *nak osim

. L M 2 n t ra ma"

Hedan %rimjer može i*g)edati ovako

a = bsection-one L some$alue = asdf subsection L other$alue = ###

1'

M 2 yei0 a comment

yetanother = Msection-two L # = %&

M

Uv)ačenje je o%ciona)no@ mogu se koristiti ta<u)atori i)i ra*maci.

Uključivanje datoteka

in lude i*java omogu5uje uk)jučivanje drugi0 datoteka ustrongswan.conf @ n%r

include /some/path/*.conf

"ko ime datoteke nije a%so)utni %ut@ smatra se da je re)ativan s direktorijem u kojemu sena)a*i datoteka sinclude i*javom. (ako=er@ uk)jučivanja se mogu gnije*diti.

anije učitane sekcije se %ro6iruju sekcijama učitani0 i* uk)jučeni0 datotekaN ve5 %ostoje5evrijednosti su *amijenjene. 7ažno je %rimjetiti da su %ostavke dodane re)ativno sekciji ukojoj jeinclude i*java.

Kao %rimjer@ s)jede5e tri datoteke re*u)tiraju jednakom konačnom kon#iguracijom kao onadana i*nad

a = bsection-one L some$alue = before include include include.confMinclude other.conf

include.conf5

2 settings loaded from this file are added to section-one2 the following replaces the pre$ious $alue

some$alue = asdfsubsection L other$alue = yyyMyetanother =

other.conf5

2 this e#tends section-one and subsectionsection-one L subsection L 2 this replaces the pre$ious $alue

other$alue = ### M

2

Msection-two L # = %&M

itanje vrijednostiKon#iguracijska datoteka se čita od straneli,strongs'ana tokom inicija)i*acije <i<)ioteke.7rijednostima se %ristu%a koriste5i )istu sekcija odvojeni0 točkom te k)juč

Pristu%anje %rimjeruse tion-one0subse tion0ot$ervalue 5e vratiti AAA.

e1inirani$ ključeva ima jako %uno@ a u ovom radu se ne5e koristiti te stoga ne5e <itinavedeni i o<ja6njeni.

# 3 3 T*r.,%"5"&,ja

le1t D)ijevoE irig$t DdesnoE kori6teni uipsec.conf datoteci o<i)ježavaju dvije krajnje

točke nekog IK ;S"

• le1t o*načava lokalni čvor@ tj. onoga na kojemu je kon#iguracijska datoteka

s%rem)jena.• rig$t je tadaudaljeni čvor.

Ovo je )ako *a%amtiti %omo5u g)edanja u %rvo s)ovo o<a %ojma D)e#t )oca)@ rig0t remoteE

# 6 P"7,!a%j* , "drža!a%j*

StrongSwan se o<ično kontro)ira %omo5u nared<eipsec . ipsec star t 5e %okrenuti

starter daemona koji onda %okre5e i kon#iguriradaemon c0aron.

7e*e de#inirane kaoconn sekcije u ipsec.conf datoteci se mogu %okrenuti %ri tri

ra*)ičitim oko)nostima• Pri pokretanju2 7e*e kon#igurirane sauto=start 5e se automatski ostvariti kada

se daemon %okrene.• Pri prometu2"ko se koristiauto=route @ %ravi)a IPseca *a kon#igurirani %romet

Dleft|rightsubnet 4 5e se insta)irati i %romet koji odgovara tim %ravi)ima 5e

%okrenutidaemona da ostvari ve*u.

21

• 3učno27e*a koja koristiauto=add mora se ostvariti ručno %omo5uipsec up

'name(. (ako=er je mogu5e koristitiipsec route 'name( kako <ismo *a

takve ve*e ručno insta)ira)i %ravi)a.

>akon 6to se S" ostvari@ipsec down se može koristiti kako <i se onemogu5io IK ;S"i)i %ojedini CFI,4;S"/ovi.

Kad god seipsec.conf datoteka %romijeni@ može se %onovno učitati %omo5uipsec

update i)i ipsec reload. 7e5 us%ostav)jene ve*e ne5e <iti %ogo=ene ovim nared<ama@

a ako je to %otre<no može se koristitiipsec restart .

"ko se %romijeni)a datotekaipsec.secrets i)i datoteke uipsec.d direktoriju@ nared<e

ipsec reread... se mogu koristiti da se %onovno učitaju te datoteke. Certi#ikati

krajnji0 entiteta %ostav)jeni uipsec.d ?certs se ne učitavaju automatski ve5 se učitavaju

kada se na nji0 re#erencira sleft | rightcert u conn sekciji.

>ared<eipsec list... 5e %ružiti in#ormacije o učitanim i)i s%rem)jenim certi#ikatima@

%održanim a)goritmima i učitanim plugin ovima.

# 8 L"&,ra%j* , %ad&5*da%j*

"ko se nai=e na %ro<)eme@ %ove5anje ra*ine )ogiranja može %omo5i u s0va5anju 6to je %o6)o krivo.

>akon susretanja s )og %orukom s)ičnom received ... error noti#: gdje je ... @ na %rimjer@ >O;P OPOS",;CFOS > i)i (S;U>"CC P(" , @ tre<a)o <i %og)edati )ogoveuda)jenog čvora kako <i se sa*na)o *a6to je generirao tu gre6ku.

Pokretanjedaemona s ipsec start Onofor" s%riječava račvanje te )ogira direktno na

kon*o)u Dako su )ogeri kon#igurirani ustrongswan.conf @ jedan od nji0 tre<a )ogirati %remastderr i)istdout E.

ipsec status i statusall nared<e %ružaju in#ormaciju o us%ostav)jenim i

kon#iguriranim ve*ama.

tcpdump i wireshar" su tako=er često korisni *a de<ugiranje %ro<)ema.

22

# 8 1 K"%2,&-ra0,ja 5"&*ra

Po *adanom načinu@ IKdaemon charon )ogira %reko s!slog564 koriste5i #%+7AU /PRI8 Dsamo %oruke na )og ra*ini E i #%+7DAEM%& Dsve )og ra*ineE.Zadana )og ra*ina svi0 %odsustava je 1.

9dje )og %oruke na kraju *avr6e ovisi o tome kako je s:s)og kon#iguriran na sustavu. Lestamjesta su/$ar/log/ daemon @/$ar/log/syslog i)i/$ar/log/messages .

!on1igura ija u ipsec.conf datote i2 setup sekcija uipsec.conf %o*naje k)jučnu

riječcharondebug koja sadrži )istu %odsustavski0 ra*ina %arova@ n%r.

charondebug=<i"e &0 "nl D0 cfg 6<

!on1igura ija vremena aktivnosti2 ")at stro"e do%u6ta %romjene )og ra*ine dok je

daemon %okrenut@ n%r.

P ipsec stro"e logle$el i"e &

!on1igura ija u strongswan.conf datote i2 Kon#iguracije )ogera u

strongswan.conf datoteci imaju ve5i %rioritet odcharondebug u ipsec.conf

datoteci "ko se de#inira <i)o koji )oger ustrongswan.conf datoteci@charondebug

nema nikakvog e#ekta.

(renutno %ostoje de#inicije dva ti%a )ogera

• ,ogeri datoteka )ogiraju direktno u datoteku.• S:s)og )ogeri )ogiraju u s:s)og.

7i6estruki )ogeri se mogu %ostaviti *a svaki ti%@ s ra*)ičitom o%6irno65u *a ra*)ičite %odsustavedaemona . Kon#iguracija )ogera se %onovno učita akodaemon %rimiSI+/UP .

(ime se %ostiže da osim mijenjanja kon#iguracije@ )og datoteke se mogu rotirati <e* da semora %onovno uk)jučivatidaemon .

U %rimjerima se koristi *adanastrongswan.conf datoteka koja 5e se insta)irati *ajedno

sa strongSwanom %a se ne5e koristiti nji0ove datoteke koje do)a*e s %ojedinimeks%erimentima. Ustrongswan.conf datoteku se nakon insta)acije sustava i %ri%reme

oko)ine o<ja6njenim u 3. %og)av)ju u<acuje s)jede5i )oger

charon L

filelog L

23

/$ar/log/charon.log L 2 add a timestamp prefi# timeQformat = )b )e )G 2 prepend connection name0 simplifies grepping i"eQname = yes 2 o$erwrite e#isting files

append = no 2 increase default logle$el for all daemon subsystems default = % 2 flush each line to dis" flushQline = yes M M

# 9 PKI

4a <i se koristi)a autenti#ikacija teme)jena na certi#ikatima@ tre<aju se i)i kreiratisamo%ot%isani certi#ikati i)i %ostaviti cije)i PKI D Pu,lic-(e! inftrastructure E koji se sastojiod certi#ikacijskog tije)a DC"E@ o%ciona)ni0 %osredni0 certi#ikacijski0 tije)a i certi#ikatakrajnjeg entiteta u* C ,/ove i)i druge metode %o%ut OCSP *a %otvrdu va)janosticerti#ikata.

Hedan od naj)ak6i0 načina *a generiranje certi#ikata je %omo5u nared<eipsec p"i .

%penSS# je tako=er 6iroko ra6irena a)ternativa *a generiranje certi#ikata@ kao i neko)iko C"

u%rav)jački0 a)ata teme)jeni0 na 9UI/u. Komercija)ni C" u%rav)jački a)ati %o%ut8icroso#tovi0 su tako=er često kori6teni *a C"/ove u 6irokim ra*mjerima.

# : K"%2,&-ra0,j* -da5j*%"& 4r,+$-4a

U ovakvim scenarijima se koristiroad'arrior koji %redstav)ja %okretnog k)ijenta koji 5e ses%ajati na uda)jenu mrežu. Z<og toga 6to se ovi k)ijenti vjerojatno s%ajaju s ne%o*nate IPadrese@ gate'a! ure=aj 5e koristitiright90an! da "( ure=aja@ %otre<no je kori6tenje virtua)ne IP adrese.

7irtua)ne IP adrese mogu <iti i)i i* %odmreže koja je i*a gate'a! ure=aja i)i i* %ose<ne %odmreže Dkori6tenjem farp i o%ciona)nodhcp plugino"a E.

Ono 6to tako=er tre<a ra*motriti je da )i 5eroad'arriori s)ati sav %romet na gate'a! ure=aji)i 5e koristiti split-tunneling @ tj. s)ati %romet samo na odre=ene destinacije kro* tune).

2!

# 1; K"%2,&-ra0,j* .r*ža<4r*.a<.r*ž,

>ajve5a ra*)ika u odnosu na s)učaj uda)jenog %ristu%a je ta da inicijator ne5e *a0tjevativirtua)nu IP adresu ve5 5e koristitileftsubnet kako <i tune)irao %romet s jedne i)i vi6e

%odmreža. Za IK v2 se mogu dodati vi6estruke %odmreže %odleft|rightsubnet koje

su odvojene točkama. "ko se koristi IK v1@ *a svaku kom<inaciju )ijeve i desne %odmrežese tre<a dodati odvojenaconn sekcija %o6to se samo %rva %odmreža u left|

rightsubnet koristi Dkoriste5i i)iconn )default i)i k)jučnu riječalso može se

smanjiti svaka od ovi0 kon#iguracija na neko)iko )inijaE.

Hedna stvar koje često *<unjuje nove korisnike IPseca je da testiranje mreža/%rema/mreži

scenarija s <i)o koji0 gate'a! ure=aja često *a0tjeva da se oda<ere i*vori6na adresa Dn%r. s ping OI E jer eksterna IP adresa gate'a! ure=aja možda nije uk)jučena u tune)iranim

%odmrežama. "ko se to že)i %otre<no je i)i dodati vanjske IP adrese )isti %odmreža u

left|rightsubnet i)i dodati s%eci#ičnuhost-prema-hostu kon#iguraciju.

# 11 K"%2,&-ra0,j* ="+$<4r*.a<="+$-

7e*e host-prema-hostu su jednostavne *a %ostaviti. (re<a kon#iguriratiright da <ude ime

hosta i)i IP adresa čvora i kon#igurirati že)jenu autenti#ikaciju. >ileftsubnet ni

rightsubnet se ne moraju eks%)icitno %ostaviti.

2$

/ Pr,4r*.a ")"5,%* 7a $*+$,ra%j* 4r"&ra.+)"&

4a)*$a +$r"%&S'a%

Pri%rema oko)ine uk)jučuje %ar koraka. Prvo se insta)ira o%eracijski sustavree S4 nakon čega s)ijeda insta)acija sustava Imunes te insta)acija %rogramskog %aketa

strongSwan unutar sustava Imunes. U%ute *a insta)aciju o%eracijskog sustava ree S4 semogu %rona5i na stranici0tt% ??imunes.te).#er.0r?d)?guide?node$.0tm) S C(IO> $11

/ 1 I%+$a5a0,ja +-+$a!a I.-%*+

Imunes stoji *a Integrated 8u)ti%rotoco) >etwork mu)ator?Simu)ator. (o je sustavra*vijen na /u kori6ten *a IP mrežnu emu)aciju?simu)aciju u eks%erimentima ustvarnom vremenu.

Prvo tre<a insta)irati %akete %otre<ne *a Imunes. U%isuju se s)ijede5e nared<e

P p"gQadd Or t":7 Image,agic" tcllib wireshar" sub$ersion

/ Insta)acija %aketa %otre<ni0 *a Imunes.

P re hash

P s$n co s$n5//imunes.tel.fer.hr/head imunes

/ Preu*imanje Imunes %aketa.

P cd imunes

P ma"e install

P ma"e $root

Imunes 9UI se sada može %okrenuti u%isivanjem nared<e P imunesR u termina).

2&

http://imunes.tel.fer.hr/dl/guide/node5.html%23SECTION00511000000000000000

http://imunes.tel.fer.hr/dl/guide/node5.html%23SECTION00511000000000000000

/ 1 1 R*)".4aj5,ra%j* Fr**BSD )*r%*5a -7 ."&->%"+$)"r,?$*%ja VIMAGE

Osnovni ree S4 kerne) ne do)a*i s %odr6kom *a IPsec. Z<og toga je %otre<nokom%aj)irati svoj kerne) kako <i se ta %odr6ka omogu5i)a. Potre<no je u5i u s)jede5idirektorij

P cd /usr/src/sys/amd7@/conf

/ "ko se koristi i3-& ar0itektura@ tada umjestoamd1: tre<a %isatii6;1

P nano SI,A +

/ Kreiranje datoteke na*iva 7I8"9 u koju je %otre<no u<aciti s)jede5u

kon#iguraciju nakon čega se s%reme %romjene i i*a=e i* ure=ivača datoteka

include +N+ I3nooptions C4TBGAU4+options SI,A +options SN+GQ +UFoptions , TFGIN

options I !+3de$ice cryptooptions I !+3Q +UF

options Uoptions ; U

P config SI,A +

P cd ../compile/SI,A +

P ma"e cleandepend VV ma"e depend

P ma"e

P ma"e install

P reboot

/ # I%+$a5a0,ja 4r"&ra.+)"& 4a)*$a +$r"%&S'a%

Za insta)aciju strongSwana 5e se koristiti skri%ta koja je insta)irana sa imunesom kojainsta)ira strongSwan direktno u"root direktorij kako <i %rogram <io insta)iran samo unutar Imunes sustava. S)jede5a nared<a to čini

• P p"gQaddQimunes Or strongswan

2+



/ StrongSwan je sada insta)iran u Imunesu i s%reman *a kori6tenje.

2-

T*+$,ra%j* +0*%ar,ja - I.-%*+-

Po%is testni0 scenarija i* ovog %og)av)ja D<e* uvodnog %rimjeraE

rw/cert@ a)g/ser%ent@ rw;v1/net;v2@ a#ter/2 3-/certs@ a)g/3des/md$@ a)g/<)ow#is0@ mod%/su<grou%@ a)g/s0a2$&@ a)g/s0a3-!@ a)g/s0a$12@ es%/a)g/nu))@ 0ost20ost/c0ost20ost/swa%%ed@ 0ost20ost/trans%ort@ 0ost20ost/ikev2@ net2net/3des@ net2net/cert@ ec%/<rain%oo)/0ig0@ a)g/ec%/0ig0@ a)g/ec%/)ow@ ecdsa/certs@ ecdsa/%kcs-@ rw/ea%/t)snet2net/route.

1 U!"d%, 4r,.j*r

S)ika ! J Mre*na topologi)a u"odnog prim)era

2'

Uvodni %rimjer@ %rema s)ici !@ %rika*uje us%ostavu IPsec ve*e i*me=u usmjerite)ja

router% i usmjerite)jarouter& . (akav način kori6tenja I%ec/a se na*iva tune)iranje@

odnosno to je scenarij mreža/%rema/mreži. (une) se us%ostav)ja i*me=u dva usmjerite)ja %reko kojega se sigurno 6a)ju %aketi. U komunikaciji i*me=u čvorova

pc% i

pc&@ kada se

6a)ju %aketi@ %rvi usmjerite)j na i*)a*u i* %odmreže 6i#rira %aket te ga 6a)je da)jeUsmjerite)j *a čiju je %odmrežu odredi6na adresa %aketa %o %rimitku de6i#rira %aket te gadrugi čvor %rima u i*vornom o<)iku. S)ijedi is%is kon#iguracijski0 datoteka te skri%te *aovaj %rimjer. >a s)ičan način se te datoteke koriste i u osta)im testnim scenarijima.

Skri%ta *a %okretanje testnog scenarija

2W/bin/sh

hcp -r moon/* router%5/usr/local/etc/hcp -r sun/* router&5/usr/local/etc/

himage router% ipsec starthimage router& ipsec start

sleep %

himage router% ipsec up net-net

,oon ipsec.conf

2 /usr/local/etc/ipsec.conf- strong!wan I sec configuration file

config setup

conn )defaulti"elifetime=76m"eylife=&6mre"eymargin=Dm"eyingtries=%"eye#change=i"e$&mobi"e=no

conn net-netleft=%6.6.%.%leftsubnet=%6.6.6.6/&@leftcert=moon3ert.pemleftid=8moon.strongswan.orgleftfirewall=noright=%6.6.&.&rightsubnet=%6.6.D.6/&@rightid=8sun.strongswan.orgauto=add

,oon ipsec.secrets

2 /usr/local/etc/ipsec.secrets - strong!wan I sec secrets file

3

----------+N 3+ GICI3AG+-----

carol;ey.pem datoteka koja se unutaripsec.d direktorija na)a*i unutar %rivate direktorija

-----U+ IN !A ISAG+ ;+>-----roc-Gype5 @0+N3 > G++;-Info5 A+!-%&:-3U306%&96[[D667&&6+@+973&9[Z3Z& &@&9

m!t@HGZ&ds>" w"7 S>m Fij% nCAn> Y [Y#7+YIA9HuB;fyH !jt1+c3w?o;H1i%:+u3?H"d,Uc: l>6i+---------------+N !A ISAG+ ;+>-----

(estni scenarij se %okre5e tako da se u Imunesu %rvo %okrene eks%eriment nakon čega se %okre5e skri%ta koja ko%ira kon#iguracijske datoteke na virtua)ne čvorove te %okrene

%otre<neipsec nared<e. U ovom uvodnom %rimjeru 5e se %rika*ati korak %o korak i*vo=enje nared"ora router?

K)ikne se dva %uta narouter% i router& da se otvore nji0ove kon*o)e. U%i6u se nared<e

ipsec start u o<je kon*o)e %a se u jednu od nji0 u%i6e nared<aipsec up net-net

kao 6to je %rika*ano s)ikom &.

32

Sli(a 1 = Usposta"a IPsec "e3e$ (on3ola >"ora router@

"ko se %rouči is%is vidjet 5e se da do0va5anje C , )iste nije us%je)o te je is%isana )inijacerti#icate status not avai)a<)e čime nije odre=en status certi#ikata. (o se dogodi)o *ato

6to ne %ostoji insta)iran we< %os)užite)j i na njemu C , )iste. >a kraju is%isa se vidi )inijaconnection Tnet/netT esta<)is0ed success#u)): 6to *nači da je IPsec ve*a us%je6no

us%ostav)jena. U svim da)jnjim %rimjerima 5e se *anemariti nedostu%nost statusacerti#ikata. Kako <i se %rovjeri)o da )i ve*a radi kako <i tre<a)a@ testira se nared<om ping

čime se testira ve*a i*me=u čvorovapc% i pc& . Prije toga se uk)jučuji wires0ark na

čvorovimapc% i router# .

33



S)ika + J estiran)e "e3e

Sa s)ike & se može *ak)jučiti da je ve*a us%je6no us%ostav)jena i*me=u čvorova. "ko se %og)eda s)ika +@ %omo5u wires0ark *a%isa se može uvjeriti dapc% 6a)je ne6i#rirane %akete

dok se %aketi koje %rimarouterE D%osredni usmjerite)jE 6i#rirani %omo5u %rotoko)a SP.

S)ika - J 2ireshar( 3apisi

3!

# a2<a5&

# 1 r'<0*r$

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?a#/a)g?rw/cert?indeA.0tm)

8o<i)ni k)ijentcarol i gate'a! ure=ajmoon koriste4r"pto #P, %rekoa15alg suče)ja *a

sve simetrične enkri%cije ihash #unkcije dok mo<i)ni k)ijentda$e koristi *adane

strong%6an kri%togra#ske plugino"e aes des s$a7 s$a8 md9 gmp.

8o<i)ni k)ijenticarol i da$e stvaraju ve*u s gate'a! ure=ajemmoon . "utenti#ikacija se

teme)ji na*09:; erti1ikatima. Kako <i se testirao tune)@carol i da$e 6a)ju ping %rema

k)ijentualice i*a gate'a! ure=ajamoon .

S)ika ' = Mre*na topologi)a testnog scenari)a

S)ijedi is%is %okretanja skri%te

root8,atej- 35\/ es"top/testniscenariji/% af-alg/%b rw-cert 2./startQstrongswan.shPRE-TESTStarting strongSwan 5.0. !Psec "starter#...no net"ey I sec stac" detectedno ;4I ! I sec stac" detectedno "nown I sec stac" detected0 ignoringWStarting strongSwan 5.0. !Psec "starter#...no net"ey I sec stac" detectedno ;4I ! I sec stac" detectedno "nown I sec stac" detected0 ignoringWStarting strongSwan 5.0. !Psec "starter#...no net"ey I sec stac" detectedno ;4I ! I sec stac" detectedno "nown I sec stac" detected0 ignoringWinitiating !$E%S& 'ome"(# to ()*.(+,.0.(

3$

http://www.strongswan.org/uml/testresults/af-alg/rw-cert/index.html

http://www.strongswan.org/uml/testresults/af-alg/rw-cert/index.html

generating !$E%S&%! !T re uest 0 " S& $E o / &T %S%!P1 / &T % %!P1 #

sending packet: from ()*.(+,.0.(00"500# to ()*.(+,.0.("500# /3+ 2 tes1

recei4ed packet: from ()*.(+,.0.("500# to ()*.(+,.0.(00"500# /3) 2 tes1

parsed !$E%S&%! !T response 0 !A ;+ No NJNAG Q!QI K NJNAG Q QI K3+ G +X NJ,F4GQAFGHK recei$ed cert re1uest for <3=3H0 T=4inu# strong!wan0 3N=strong!wan

oot 3A<sending cert re1uest for <3=3H0 T=4inu# strong!wan0 3N=strong!wan

oot 3A<aut'entication of 6 carol 7strongswan.org6 /m se8f1 wit' RS& signaturesuccessfu8sending end entity cert <3=3H0 T=4inu# strong!wan0 TF= esearch03N=carol8strongswan.org<esta28is'ing 9 !; %S& 'omegenerating !$E%& T re uest ( I i 3+ G NJINIGQ3TNGA3GK 3+ G +X I rAFGH NJ+! QGC3Q A QNK !A G!i G!r NJ,TUI;+Q!F K NJNTQA QA K

NJ,F4GQAFGHK NJ+A QTN4>K sending packet: from ()*.(+,.0.(00" 500# to ()*.(+,.0.(" 500# /(+0 2 tes1

recei4ed packet: from ()*.(+,.0.(" 500# to ()*.(+,.0.(00" 500# /(5 0 2 tes1 parsed !$E%& T response ( I r 3+ G AFGH NJ+! QGC3Q A QNK !A G!i

G!r NJAFGHQ4CGK NJ,TUI;+Q!F K NJA Q@QA K recei$ed end entity cert <3=3H0 T=4inu# strong!wan03N=moon.strongswan.org< using certificate <3=3H0 T=4inu# strong!wan03N=moon.strongswan.org< using trusted ca certificate <3=3H0 T=4inu# strong!wan03N=strong!wan oot 3A<

chec"ing certificate status of <3=3H0 T=4inu# strong!wan03N=moon.strongswan.org< fetching crl from ]http5//crl.strongswan.org/strongswan.crl] ...unable to fetch from http5//crl.strongswan.org/strongswan.crl0 nocapable fetcher foundcrl fetching failedcertificate status is not a$ailable reached self-signed root ca with a path length of 6aut'entication of 6 moon .strongswan.org6 wit' RS& signaturesuccessfu8!$E%S& 'ome"(# esta28is'ed 2etween ()*.(+,.0.(00" carol 7strongswan.org#...()*.(+,.0.(" moon .strongswan.org#

scheduling reauthentication in DD[6sma#imum I;+Q!A lifetime DZZ6srecei$ed +! QGC3Q A IN QNTGQ!F T G+ 0 not using +! $D GC3 padding9 !; %S& 'ome=( esta28is'ed wit' SP!s c5++,(35%i c 5a000 %o and TS()*.(+,.0.(00?3* @@@ (0.(.0.0?(+connection 6'ome6 esta28is'ed successfu88

initiating I;+Q!A home % to %9&.%7:.6.%......authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful......establishing 3HI4 Q!A home......

3&

authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

......

3HI4 Q!A homeL%M established with ! Is cDbfDdZaQi cD%:%dcbQo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / ipsec status A carol ping A da$e ping 1!ecurity Associations J& up0 6 connectingK5 rw & 5 +!GAU4I!H+ 6 seconds ago0%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.&66 da$e8strongswan.org

rwL&M5 IN!GA44+ 0 GFNN+40 +! ! Is5 cD%:%dcbQi cDbfDdZaQo rwL&M5 %6.%.6.6/%7 === %9&.%7:.6.&66/D&

rw % 5 +!GAU4I!H+ % second ago0%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.%66 carol8strongswan.or

g rwL%M5 IN!GA44+ 0 GFNN+40 +! ! Is5 c@Za666[Qi cZ77:%DZQo rwL%M5 %6.%.6.6/%7 === %9&.%7:.6.%66/D&!ecurity Associations J% up0 6 connectingK5 home % 5 +!GAU4I!H+ % second ago0%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org homeL%M5 IN!GA44+ 0 GFNN+40 +! ! Is5 cZ77:%DZQi c@Za666[Qo homeL%M5 %9&.%7:.6.%66/D& === %6.%.6.6/%7!ecurity Associations J% up0 6 connectingK5 home % 5 +!GAU4I!H+ 6 seconds ago0%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

homeL%M5 IN!GA44+ 0 GFNN+40 +! ! Is5 cDbfDdZaQi cD%:%dcbQo homeL%M5 %9&.%7:.6.&66/D& === %6.%.6.6/%7

ping (0.(.0.(0 /(0.(.0.(01: 5+ data 2 tes+ 2 tes from (0.(.0.(0: icmp%se @0 tt8@+3 time@0.+,+ ms--- %6.%.6.%6 ping statistics ---% pac"ets transmitted0 % pac"ets recei$ed0 6.6) pac"et lossround-trip min/a$g/ma#/stdde$ = 6.7:7/6.7:7/6.7:7/6.666 ms

ping (0.(.0.(0 /(0.(.0.(01: 5+ data 2 tes+ 2 tes from (0.(.0.(0: icmp%se @0 tt8@+3 [email protected] 0 ms--- %6.%.6.%6 ping statistics ---

% pac"ets transmitted0 % pac"ets recei$ed0 6.6) pac"et lossround-trip min/a$g/ma#/stdde$ = 6.Z[6/6.Z[6/6.Z[6/6.666 ms

PBST-TEST!topping strong!wan I sec...!topping strong!wan I sec...!topping strong!wan I sec...

Proučavanjem P /( S( dije)a is%isa *ak)jučuje se da su o<je ve*e us%je6noautenti#icirane i us%ostav)jene. U ( S( dije)u is%isa vidi se %rvo is%isipsec status

nared<e gdje se vidi da je gate'a! ure=aj moon us%ostavio dvije sigurnosne %ove*nice

S"@ tj. svaku sa jednim k)ijentom@ te se može vidjeti da svaki od k)ijenata ima %o jednu

3+

sigurnosnu %ove*nicu. >akon toga s)ijedi testiranje ve*e i*me=u mo<i)ni0 k)ijenata i čvora

alice koji se na)a*i i*a gate'a! ure=aja koje je tako=er us%je6no.

/ &0r@4$<,)*!#/ 1 r'<0*r$

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?gcr:%t/ikev2?rw/cert?indeA.0tm)

8o<i)ni k)ijentcarol i gate'a! ure=ajmoon koriste g r"pt plugin teme)jen na<=U

>ibg r"pt <i<)ioteci *a sve kri%togra#ske #unkcije dok mo<i)ni k)ijentda$e koristi *adane

strong%6an kri%togra#ske plugino"e aes des s$a7 s$a8 md9 gmp.

8o<i)ni k)ijenti carol i da$e ostvaruju ve*u %rema gate'a! ure=aju moon .

"utenti#ikacija se teme)ji na*09:; erti1ikatima. Kako <i se testira)a ve*a@carol i da$e

6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

S)ika 1 J Mre*na toplogi)a testnog scenari)a

Pokretanjem skri%te se do<ije s)jede5i is%is

PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....

3-

http://www.strongswan.org/uml/testresults/gcrypt-ikev2/rw-cert/index.html

http://www.strongswan.org/uml/testresults/gcrypt-ikev2/rw-cert/index.html

establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signature

successfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is cb67[%@DQi c979a7D:Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful

.....I;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....connection ]home] established successfully

TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z@& ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z@: ms

Po is%isu se *ak)jučuje da su sva testiranja us%je6no %ro6)a. Icarol i da$e us%je6no 6a)ju

ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

,)*

1 r'<0*r$

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ike?rw/cert?indeA.0tm)

8o<i)ni k)ijent carol us%ostav)ja IK v1 ve*u i mo<i)ni k)ijentda$e IK v2 tune)@

res%ektivno@ %rema gate'a! ure=ajumoon . Kako <i se testirao us%ostav)jeni tune)@carol i

da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

3'

http://www.strongswan.org/uml/testresults/ike/rw-cert/index.html

http://www.strongswan.org/uml/testresults/ike/rw-cert/index.html



S)ika 11 J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...I;+ $ersion % not supportedestablishing connection ]home] failed

initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....

parsed I;+Q!AQINIG response.....authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between

%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is cf6:c%@@Qi c9D[bcb9Qo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.D76 ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@[% ms

!

U ovom s)učaju iakocarol nije us%ostavi)a 7P> sa gate'a! ure=ajem *<og

ne%održavanja ikev1@ i da)je može komunicirati sa čvoromalice @ iako ta komunikacija

ne5e <iti 6i#rirana. Ostatak eks%erimenta je us%je6no o<av)jen.

# r' !1<%*$ !#

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ike?rw;v1/net;v2?indeA.0tm)

7e*a i*me=u %odmreža i*a gate'a! ure=ajamoon i sun je ostvarena %omo5u %rotoko)a

IK v2 dok mo<i)ni k)ijentcarol %regovara o ve*i %omo5u %rotoko)a IK v1. Kako <i se

testirao scenarij@ k)ijentalice i*a gate'a! ure=ajamoon 6a)je ping %rema k)ijentubob

)ociranog i*a gate'a! ure=aja sun i mo<i)ni k)ijentcarol 6a)je ping %rema k)ijentu

alice i*amoona .



PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...

!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...

!1

http://www.strongswan.org/uml/testresults/ike/rw_v1-net_v2/index.html

http://www.strongswan.org/uml/testresults/ike/rw_v1-net_v2/index.html

.....initiating I;+Q!A net-net % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest.....parsed I;+Q!AQINIG response.....

authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A net-netgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response......authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A net-net % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org.....3HI4 Q!A net-netL%M established with ! Is c:%ZbccaQi cZd9%%7:Qo and

G! %6.%.6.6/%7 === %6.&.6.6/%7connection ]net-net] established successfully

I;+ $ersion % not supportedestablishing connection ]home] failed

TEST ping %6.&.6.%6 J%6.&.6.%6K5 Z7 data bytes7@ bytes from %6.&.6.%65 icmpQse1=6 ttl=7& time=%.&67 ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.&D9 ms

(estni scenarij je us%je6no %ro6ao te se %o is%isu može *ak)jučiti kakoalice u %odmreži

i*a gate'a! ure=ajamoon može us%je6no s)ati ping %rema k)ijentubob u %odmreži i*a

gate'a! ure=ajasun @ odnosno ostvarena je mreža/%rema/mreži komunikacija. (ako=er@

carol može us%je6no s)ati ping %remaalice @ iako ta komunikacija nije 6i#rirana *<og

neus%je6ne us%ostave i%sec ve*e %omo5u IK v1.

3 ,)*!#

3 1 a2$*r<#;/9<0*r$+

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a#ter/2 3-/certs?indeA.0tm)

8o<i)ni k)ijentcarol us%ostav)ja ve*u %rema gate'a! ure=ajumoon . "utenti#ikacija se

teme)ji na*09:; erti1ikatima koji su va)jani do 2 3'. godine te i*dani od stranecerti#ikacijskog tije)a u*root ca certi#ikat koji je va)jan do 2 $'. godine. >a 32/<itnim

!2

http://www.strongswan.org/uml/testresults/ikev2/after-2038-certs/index.html

http://www.strongswan.org/uml/testresults/ikev2/after-2038-certs/index.html

%)at#ormama@ datumi %os)ije Han 1' 3 1! + U(C 2 3- se ne mogu %redstaviti ti%om %odataka time;t. Kako <i se testirao us%ostav)jeni tune)@carol 6a)je ping %remaalice .



PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........

initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....

authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is caf776@aQi cD%f@b:&Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@7@ ms

!3

(estni scenarij je us%je6no %ro6ao. K)ijent carol us%je6no 6a)je ping %rema k)ijentu alice

i*a gate'a! ure=aja moon 0

3 # a5&</d*+<.d3

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/3des/md$?indeA.0tm)

8o<i)ni k)ijent carol %red)aže gate'a! ure=aju moon SP kodiranje? (%54@4 /

AM#45M 95;B de#iniraju5iespC?des-md9-modp7:8DE u ipsec.conf datoteci. Isto

kodiranje se koristi i *a IK . Kako akon %okretanja skri%te se do<ije s)jede5i is%is

PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessful

!!

http://www.strongswan.org/uml/testresults/ikev2/alg-3des-md5/index.html

http://www.strongswan.org/uml/testresults/ikev2/alg-3des-md5/index.html

I;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c6999e9DQi cbZ&cc9DQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7

connection ]home] established successfully

TEST / carol ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=D7.:9: ms

(estni scenarij je us%je6no %ro6ao. K)ijent carol us%je6no 6a)je ping %rema k)ijentu alice

i*a gate'a! ure=aja moon 0

3 / a5&< 5"'2,+=

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/<)ow#is0?indeA.0tm)

8o<i)ni k)ijenticarol i da$e us%ostav)jaju ve*u svatko %rema gate'a! ure=ajumoon

koriste5i@lo61is$ i *a IK i *a SP enkri%ciju. Kako <i se testirao us%ostav)jeni tune)@

carol i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

S)ika 1$ J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6

!$

http://www.strongswan.org/uml/testresults/ikev2/alg-blowfish/index.html

http://www.strongswan.org/uml/testresults/ikev2/alg-blowfish/index.html

.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %

.....parsed I;+QAFGH response %

.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c[ac@7ffQi c7b[e%d6Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....I;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is c[Zd%7&9Qi cadfd:66Qo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.7D7 ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.ZDD ms

(estni scenarij je us%je6no %ro6ao@ acarol i da$e us%je6no 6a)ju ping %rema k)ijentu

alice i*a gate'a! ure=ajamoon 0

3 a5&<."d4<+- &r"-4

e#erenca 0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/mod%/su<grou%?indeA.0tm)

8o<i)ni k)ijenticarol i da$e us%ostav)jaju ve*u svatko %rema gate'a! ure=ajumoon

koriste5iMF P i11ie-Aellman grupe 88G 8? i 8Du*Prime Frder %ubgroups.

3arol %red)aže 4F gru%e 8O4P;2 !-;22! i 8O4P;1 2!;1& dok da$e %red)aže

8O4P;2 !-;22! i 8O4P;2 !-;2$&. Po6to moon ne %održava 8O4P;2 !-;22!@

mo<i)ni k)ijenti se %ov)ače na 8O4P;1 2!;1& i 8O4P;2 !-;2$&@ res%ektivno.

!&

http://www.strongswan.org/uml/testresults/ikev2/alg-modp-subgroup/index.html

Kako <i se testirao us%ostav)jeni tune)@carol i da$e 6a)ju ping %rema k)ijentualice i*a

gate'a! ure=ajamoon .

S)ika 1& J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%

generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6 NJINSA4Q;+K peer didn]t accept H group ,T Q&6@:Q&&@0 it re1uested,T Q%6&@Q%76initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....

establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c9Zb&7:[Qi c@Daace@Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7


!+

initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6 NJINSA4Q;+K peer didn]t accept H group ,T Q&6@:Q&&@0 it re1uested,T Q&6@:Q&Z7

initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6......I;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

......3HI4 Q!A homeL%M established with ! Is cd&c@ccaQi cZ[cDbf9Qo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@7D ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@7D ms

(estni scenarij je us%je6no %ro6ao. I* is%isa se isčitavaju )inijepeer didn]t accept H

group ,T Q&6@:Q&&@0 it re1uested ,T Q%6&@Q%76 te peer didn]t

accept H group ,T Q&6@:Q&&@0 it re1uested ,T Q&6@:Q&Z7 6to

%otvr=uje us%je6nost scenarija. (ako=er@carol i da$e us%je6no 6a)ju ping %rema k)ijentu

alice i*a gate'a! ure=ajamoon .

3 3 a5&<+=a#36

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/s0a2$&?indeA.0tm)

8o<i)ni k)ijentcarol %red)aže gate'a! ure=ajumoon SP kodiranje#(%54@4578H /

AM#45%A#8589B578Hde#iniraju5iespCaes78H-s$a89B-modp8:DHEu ipsec.conf

datoteci. Isto kodiranje se koristi i *a IK . Kako <i se testirao us%ostav)jeni tune)@carol

6a)je ping %remaalice .

!-

http://www.strongswan.org/uml/testresults/ikev2/alg-sha256/index.html



S)ika 1+ J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %......authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c:77&f99Qi cD76%deDQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=Z.%9: ms

(estni scenarij je us%je6no %ro6ao@ acarol us%je6no 6a)je ping %remaalice .

!'

3 6 a5&<+=a/9

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/s0a3-!?indeA.0tm)

8o<i)ni k)ijentcarol %red)aže gate'a! ure=ajumoon SP kodiranje#(%54@457;8 /

AM#45%A#85?HD57;8de#iniraju5iespCaes7;8-s$a?HD-modp?:I8Eu ipsec.conf

datoteci. Isto kodiranje koristi i *a IK . Kako <i se testirao us%ostav)jeni tune)@carol


S)ika 1- J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....

$

3HI4 Q!A homeL%M established with ! Is cc%D:aZdQi c@DZ@@[[Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.::% ms

(estni scenarij je us%je6no %ro6ao@ acarol us%je6no 6a)je ping %remaalice .

3 8 a5&<+=a31#

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?a)g/s0a$12?indeA.0tm)

8o<i)ni k)ijentcarol %red)aže gate'a! ure=ajumoon SP kodiranje#(%54@4589B /

AM#45%A#85978589Bde#iniraju5iespCaes89B-s$a978-modpD:;BE u ipsec.conf

datoteci. Isto kodiranje se koristi i *a IK . Kako <i se testirao us%ostav)jeni tune)@carol


S)ika 1' J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful

$1

PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6

.....parsed I;+Q!AQINIG response 6

.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessful

I;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c:&9&%efQi c@c:a@@fQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A carol Cmoon ipsec statusa88 D grep6 ;;? &9%S &(%)+61

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@&D ms

rwL%M5 NF44/H,A3Q!HA%Q970 %6@ bytesQi J6 p"ts0 6s agoK0%&: bytesQo J6 p"ts0 6s agoK0 re"eying in %Z minutes homeL%M5 NF44/H,A3Q!HA%Q970 %6@ bytesQi J6 p"ts0 6s agoK0%&: bytesQo J6 p"ts0 6s agoK0 re"eying in %Z minutes

(estni scenarij je us%je6no %ro6ao. I* %ri)oženog is%isa se vidi )inija i*ipsec status nared<ekoja %otvr=uje oda<rani način kodiranja. (ako=er@carol us%je6no 6a)je ping %rema

alice .

3 : ="+$#="+$<0*r$e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?host 2host /cert?indeA.0tm)

Us%ostav)ja se ve*a i*me=uhosto"a moon i sun . "utenti#ikacija se teme)ji na B.$ '

certi#ikatima. Kako <i se testiraohost-prema-hostu tune)@moon 6a)je ping %remasun .

$3

http://www.strongswan.org/uml/testresults/ikev2/host2host-cert/index.html



S)ika 21J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A host - host % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....

parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A host - hostgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A host - host % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org.....3HI4 Q!A host - host L%M established with ! Is c%7:c:a&Qi c:e7@Z76Qoand G! %9&.%7:.6.%/D& === %9&.%7:.6.&/D&connection ] host - host ] established successfully

TEST / moon ping 1 ping %9&.%7:.6.& J%9&.%7:.6.&K5 Z7 data bytes7@ bytes from %9&.%7:.6.&5 icmpQse1=6 ttl=7@ time=6.ZZ7 ms

(estni scenarij je us%je6no %ro6ao@ amoon us%je6no 6a)je ping %remasun 0

$!

3 1; ="+$#="+$<+'a44*d

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?host 2host /swa%%ed?indeA.0tm)

Ovdje je testni scenarij isti kao u %og)av)ju !.&.'@ a)i sa *amijenjenim krajnjimde#inicijamarig$t o<i)ježavalokalno dokle1t stoji *audaljeni čvor.


>akon %okretanja skri%te se do<ije s)jede5i is%isPRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A host - host % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful

.....establishing 3HI4 Q!A host - hostgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %......authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A host - host % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org......3HI4 Q!A host - host L%M established with ! Is c@d777aeQi c:D@67@@Qoand G! %9&.%7:.6.%/D& === %9&.%7:.6.&/D&connection ] host - host ] established successfully

TEST / moon ping 1

$$

http://www.strongswan.org/uml/testresults/ikev2/host2host-swapped/index.html

ping %9&.%7:.6.& J%9&.%7:.6.&K5 Z7 data bytes7@ bytes from %9&.%7:.6.&5 icmpQse1=6 ttl=7@ time=6.[&@ ms

(estni scenarij je us%je6no %ro6ao@ amoon us%je6no 6a)je ping %remasun .

3 11 ="+$#="+$<$ra%+4"r$

e#erenca 0tt% ??www.strongswan.org?um)?testresu)ts?ikev2?host 2host /trans%ort?indeA.0tm)

Us%ostav)ja se IPsec ve*a utransportnom načinu rada i*me=uhosto"a moon i sun .

Kako <i se testira)ahost-prema-hostu ve*a@moon 6a)je ping %remasun .




!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A host - host % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A host - hostgenerating I;+QAFGH re1uest % I i 3+ G NJINIGQ3TNGA3GK 3+ G +X I rAFGH NJF!+QG AN! K NJ+! QGC3Q A QNK !A G!i G!r NJ,F4GQAFGHK

NJ+A QTN4>K .....

$&

http://www.strongswan.org/uml/testresults/ikev2/host2host-transport/index.html

parsed I;+QAFGH response % I r 3+ G AFGH NJF!+QG AN! KNJ+! QGC3Q A QNK !A G!i G!r NJAFGHQ4CGK .....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A host - host % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org

.....3HI4 Q!A host - host L%M established with ! Is c:e[[e7aQi c@caedd6Qoand G! %9&.%7:.6.%/D& === %9&.%7:.6.&/D&connection ] host - host ] established successfully

TEST / moon ping 1 ping %9&.%7:.6.& J%9&.%7:.6.&K5 Z7 data bytes7@ bytes from %9&.%7:.6.&5 icmpQse1=6 ttl=7@ time=6.ZD7 ms

(estni scenarij je us%je6no %ro6ao. I* )inijeparsed I;+QAFGH response % I r

3+ G AFGH NJF!+QG AN! K NJ+! QGC3Q A QNK !A G!i G!r NJAFGHQ4CGK

se može *ak)jučiti da se stvarno koristi trans%ortni način rada. (ako=er@moon us%je6no

6a)je ping %remasun .

6 5, ,4+*0

6 1 ="+$#="+$<0*r$

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?)i<i%sec?host 2host /cert?indeA.0tm)7e*a i*me=uhost ova moon i sun je us%ostav)jena. "utenti#ikacija se teme)ji na*09:;

erti1ikatima. !ernel-libipse plugin se koristi *a IPsec SP enkri%ciju. Kako <i setestiraohost-prema-host u tune)@moon 6a)je ping %remasun .

$+

http://www.strongswan.org/uml/testresults/libipsec/host2host-cert/index.html





PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A host - host % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....

parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A host - hostgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A host - host % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org.....3HI4 Q!A host - host L%M established with ! Is c7D6dd[&Qi c66bd7:%Qoand G! %9&.%7:.6.%/D& === %9&.%7:.6.&/D&.....connection ] host - host ] established successfully

TEST / moon ping 1 ping %9&.%7:.6.& J%9&.%7:.6.&K5 Z7 data bytes7@ bytes from %9&.%7:.6.&5 icmpQse1=6 ttl=7@ [email protected]% ms

I* is%isa se *ak)jučuje da je testni scenarij %ro6ao %o6to je ve*ahost /host us%je6no

us%ostav)jena temoon us%je6no 6a)je ping %remasun .

$-

6 # %*$#%*$</d*+

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?)i<i%sec?net2net/3des?indeA.0tm)

7e*a i*me=u %odmreža i*a gate'a! ure=ajamoon i sun je us%ostav)jena. "utenti#ikacija se

teme)ji na*09:; erti1ikatima. Kernel-libipsec plugin se koristi *a IPsec SP enkri%ciju.Pregovarani enkri%cijski i autentikacijski a)goritmi su? (% i %A#-7@ res%ektivno. Kako <i se testirao tune)@ k)ijentalice i*a gate'a! ure=ajamoon 6a)je ping %rema k)ijentubob

)ociranog i*a gate'a! ure=ajasun .

S)ika 2$ / Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A net-net % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A net-netgenerating I;+QAFGH re1uest %

$'

http://www.strongswan.org/uml/testresults/libipsec/net2net-3des/index.html

http://www.strongswan.org/uml/testresults/libipsec/net2net-3des/index.html

.....parsed I;+QAFGH response %.....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A net-net % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org

.....3HI4 Q!A net-netL%M established with ! Is ce@7&f@@Qi cafbZb%fQo andG! %6.%.6.6/%7 === %6.&.6.6/%7connection ]net-net] established successfully

TEST / alice ping 1 ping %6.&.6.%6 J%6.&.6.%6K5 Z7 data bytes7@ bytes from %6.&.6.%65 icmpQse1=6 ttl=7& time=Z7.@79 ms

(estni scenarij je us%je6no %ro6ao@ i* is%isa se vidi da k)ijentalice i*a gate'a! ure=aja

moon us%je6no 6a)je ping %rema k)ijentubob )ociranog i*a gate'a! ure=ajasun .

6 / %*$#%*$<0*r$

e#erenca0tt% ??www.strongswan.org?um)?testresu)ts?)i<i%sec?net2net/cert?indeA.0tm)

7e*a i*me=u %odmreža i*a gate'a! ure=ajamoon i sun je us%ostav)jena. "utenti#ikacija se

teme)ji na *09:; erti1ikatima. !ernel-libipse plugin se koristi *a IPsec SP enkri%ciju.Kako <i se testirao us%ostav)jeni tune)@ k)ijentalice i*a gate'a! ure=ajamoon 6a)je ping

%rema k)ijentubob )ociranog i*a gate'a! ure=ajasun 0

&

http://www.strongswan.org/uml/testresults/libipsec/net2net-cert/index.html

http://www.strongswan.org/uml/testresults/libipsec/net2net-cert/index.html



S)ika 2& / Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...initiating I;+Q!A net-net % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....establishing 3HI4 Q!A net-netgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response % I r 3+ G AFGH NJ+! QGC3Q A QNK !A G!iG!r NJAFGHQ4CGK .....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A net-net % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org.....3HI4 Q!A net-netL%M established with ! Is c%&f67b9Qi c[b%7ZdcQo andG! %6.%.6.6/%7 === %6.&.6.6/%7connection ]net-net] established successfully

TEST / alice ping 1 ping %6.&.6.%6 J%6.&.6.%6K5 Z7 data bytes7@ bytes from %6.&.6.%65 icmpQse1=6 ttl=7& time=6.:@% ms

(estni scenarij je us%je6no %ro6ao@ i* is%isa se vidi da k)ijentalice i*a gate'a! ure=ajamoon us%je6no 6a)je ping %rema k)ijentubob )ociranog i*a gate'a! ure=ajasun

&1

8 "4*%++5<,)*!#

8 1 a5&< 5"'2,+=

8o<i)ni k)ijenticarol i da$e kao i gate'a! ure=ajmoon koristeopenssl plugin teme)jenna O%enSS, <i<)ioteci *a sve kri%togra#ske #unkcije@ tako omogu5uju5i@lo61is$u da <udedostu%an *a kori6tenje kao IK v2.

8o<i)ni k)ijenticarol i da$e us%ostav)jaju ve*u svaki %rema gate'a! ure=ajumoon

koriste5i@lo61is$*a IK i SP enkri%ciju. Kako <i se testirao us%ostav)jeni tune)@carol

i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

S)ika 2+ / Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessful

&2

I;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is cD9@adfDQi cZe[@&DDQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7


initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....

parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is c[[e@b7[Qi cc%e9dfZQo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.:96 ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@&Z ms



8 # a5&<*04<=,&=

8o<i)ni k)ijentcarol i gate'a! ure=ajmoon koristeopenssl plugin teme)jen na O%enSS,

<i<)ioteci *a sve kri%togra#ske i B.$ ' certi#ikatne #unkcije dok mo<i)ni k)ijentda$e

koristi *adanestrong%6an kri%togra#ske plugino"e aes des s$a7 s$a8 md9 gmp )9:;@uk)jučuju5iopenssl plugin samo *a Elliptic Cur"e 4i##ie/Fe))man gru%e.

8o<i)ni k)ijenticarol i da$e us%ostav)jaju ve*u svatko %rema gate'a! ure=ajumoon .

"utenti#ikacija se teme)ji na B.$ ' certi#ikatima.3arol %red)aže 4F gru%e CP;2$&; P

i CP;3-! dok da$e %red)aže CP;2$& i CP;$12. Po6tomoon ne %održava CP;2$&@

&3

mo<i)ni k)ijenti se %ov)ače na CP;3-! i CP;$12@ res%ektivno. Kako <i se testiraous%ostav)jeni tune)@carol i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=aja

moon .

S)ika 2- / Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...

.....initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6peer didn]t accept H group +3 Q&Z70 it re1uested +3 QD:@initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c967Zb[fQi c7cdZ79&Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

&!

"utenti#ikacija se teme)ji na*09:; erti1ikatima. 3arol %red)aže 4F gru%e CP;1'2 i

CP;22! dok da$e %red)aže CP;1'2 i CP;2$&. Po6tomoon ne %održava CP;1'2@

mo<i)ni k)ijenti se %ov)ače na CP;22! i CP;2$&@ res%ektivno. Kako <i se testiraous%ostav)jeni tune)@carol i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=aja

moon .

S)ika 2'/ Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6 NJINSA4Q;+K peer didn]t accept H group +3 Q%9&0 it re1uested +3 Q&&@initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessful

&&

I;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c:f&eca&Qi cb7b[@:7Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7


initiating I;+Q!A home % to %9&.%7:.6.%.....parsed I;+Q!AQINIG response 6 NJINSA4Q;+K peer didn]t accept H group +3 Q%9&0 it re1uested +3 Q&Z7initiating I;+Q!A home % to %9&.%7:.6.%.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is c6967aaeQi cdcd%DafQo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=7&.&@[ ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.D9& ms

carol # ipsec statusall | grep'home.*3DES_C C!" $C_S"$%_%& _(%)! +,_" $C_S"$%_%& !EC _%%-' home % 5 I;+ proposal5D +!Q3U3/H,A3Q!HA&Q&Z7Q%&:/ CQH,A3Q!HA&Q&Z7/+3 Q&&@

da$e # ipsec statusall | grep'home.*$ES_C C_(%)!" $C_S"$%_%& _(%)! +,_" $C_S"$%_%& !EC _%& ' home % 5 I;+ proposal5A+!Q3U3Q%&:/H,A3Q!HA&Q&Z7Q%&:/ CQH,A3Q!HA&Q&Z7/+3 Q&Z7

(estni scenarij je us%je6no %ro6ao. I* )inijapeer didn]t accept H group se vidi

%ov)ačenje mo<i)ni0 k)ijenata na druge 4F gru%e@ a is%isipsec statusall nared<e

%otvr=uje kori6tenje CP;22! odnosno CP;2$& 4F gru%a. (ako=er@carol i da$e

us%je6no 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

8 *0d+a<0*r$+

/osto"i carol @da$e i moon koristeopenssl plugin teme)jen naFpen%%> <i<)ioteci *a

sve kri%togra#ske i B.$ ' certi#ikatske #unkcije. 8o<i)ni k)ijenticarol i da$e

us%ostav)jaju ve* svatko %rema gate'a! ure=aju moon . "utenti#ikacija se teme)ji na

&+

(4 %# potpisima u*(llipti 4urve erti1ikate. Kako <i se testirao tune)@carol i da$e

6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

S)ika 3 / Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with +3 !A-&Z7signature successful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with +3 !A-Z&% signature

successfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is cc[Z7a&%Qi c6@b7@f@Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....authentication of ]da$e8strongswan.org] JmyselfK with +3 !A-D:@signature successful

.....

&-

v2. 34 S a)goritmom. Kako <i se testirao us%ostav)jeni tune)@carol i da$e 6a)ju ping

%rema k)ijentualice i*a gate'a! ure=ajamoon .



PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%

generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with +3 !A-&Z7signature successful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with +3 !A-Z&% signature

successfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c&9DabD6Qi cZ:Zfea7Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....authentication of ]da$e8strongswan.org] JmyselfK with +3 !A-D:@signature successful.....authentication of ]moon.strongswan.org] with +3 !A-Z&% signaturesuccessful

+

I;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is c7[&6cd:Qi cf@db:&6Qo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7


TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z9: ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z&D ms



U ovom %rimjeru je u odnosu na %ro6)i %rimjer tre<a)o %romijeniti %rivatne k)jučeve %ojedini0 čvorova.

8 6 r'<0*r$

8o<i)ni k)ijent carol i gate'a! ure=aj moon koriste openssl plugin teme)jen na

Fpen%%> <i<)ioteci *a sve kri%togra#ske i B.$ ' certi#ikatske #unkcije dok mo<i)ni k)ijent

da$e koristi *adanestrong%6an kri%togra#ske plugino"e aes des s$a7 s$a8 md9 gmpi)9:; . 8o<i)ni k)ijenticarol i da$e us%ostav)jaju ve*u svatko %rema gate'a! ure=aju

moon . "utenti#ikacija se teme)ji na*09:; erti1ikatima. Kako <i se testirao us%ostav)jeni

tune)@carol i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .


+1




PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is c7aa:e7[Qi c%bfd[f:Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....

authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is ceae7Z%bQi cf&&6Z%aQo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z7[ ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z@Z ms



+2

8 8 r'<*a4<$5+<"%5@

8o<i)ni k)ijentcarol us%ostav)ja ve*u %rema gate'a! ure=ajumoon . Haka *ajednička

autenti#ikacija o<a čvora se teme)ji samo na "P/(,S D<e* odvojene IK v2autenti#ikacijeE@ koriste5i (,S k)ijenta i %os)užite)jske certi#ikate@ res%ektivno. Elliptic

cur"e kri%togra#ija se koristi i *a IK i %rotoko)e (,S.



PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest % I i NJINIGQ3TNGA3GK I r

NJ+! QGC3Q A QNK !A G!i G!r NJ,TUI;+Q!F K NJNTQA QA KNJ,F4GQAFGHK NJ+A QTN4>K .....parsed I;+QAFGH response % I r +A / +X/G4! ser$er re1uested +A QG4! authentication Jid 6# +Kallow mutual +A -only authenticationgenerating I;+QAFGH re1uest & +A / +!/G4! sending pac"et5 from %9&.%7:.6.%66 @Z66 to %9&.%7:.6.% @Z66 J&Z7bytesKrecei$ed pac"et5 from %9&.%7:.6.% @Z66 to %9&.%7:.6.%66 @Z66 J%%6@bytesKparsed I;+QAFGH response & +A / +X/G4! generating I;+QAFGH re1uest D +A / +!/G4! sending pac"et5 from %9&.%7:.6.%66 @Z66 to %9&.%7:.6.% @Z66 J:6bytesK

+3





PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6

.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.or

g.....3HI4 Q!A homeL%M established with ! Is c&ded@d%Qi c[d9%@ZDQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping 1AGG+ N5 6#deadbeef

ping %6.%.6.%6 J%6.%.6.%6K5 %&6 data bytes%&: bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=D%.&97 ms

(estni scenarij je us%je6no %ro6ao te se vidi da ping %os)an odcarol %remaalice

us%je6no %rovjerava us%ostav)jeni tune).

+$

9 # a5&<+=a31#

8o<i)ni k)ijentcarol %red)aže gate'a! ure=ajumoon SP kodiranje#(%54@4589B /

AM#45%A#85978589B de#iniraju5iespCaes89B-s$a978-modpD:;BE u ipsec.conf

datoteci. Kodiranje se koristi *a IK . Ping %os)an odcarol %remaalice %rovjerava

us%ostav)jeni tune).

S)ika 3$ J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signature

successful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....

3HI4 Q!A homeL%M established with ! Is c&a[7eD&Qi cc&6@9bbQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7

+&

ping %6.%.6.%6 J%6.%.6.%6K5 %&6 data bytes%&: bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@:@ ms



9 / *+4<a5&<%-55

8o<i)ni k)ijent carol %red)aže gate'a! ure=aju moon SP kodiranje

=U>>/AM#45%A#75;B de#iniraju5iespCnull-s$a7 u ipsec.conf datoteci. Ping

%os)an odcarol %remaalice %rovjerava us%ostav)jeni tune).

S)ika 3& J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest %

++

.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between

%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org.....3HI4 Q!A homeL%M established with ! Is caZDZ%7dQi c%7::[bDQo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully


ping %6.%.6.%6 J%6.%.6.%6K5 %&6 data bytes%&: bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.7DD ms



9 ="+$#="+$<$ra%+4"r$

Us%ostav)ja se IPsec ve*a utransportnom načinu rada i*me=uhosto"a moon i sun .

Kako <i se testira)ahost-prema-hostu ve*a@moon 6a)je ping %remasun .

S)ika 3+ J Mre*na topologi)a testnog scenari)a



!tarting strong!wan Z.6.@ I sec starter ........

+-

initiating I;+Q!A host - host % to %9&.%7:.6.&generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....authentication of ]moon.strongswan.org] JmyselfK with !A signature

successful.....establishing 3HI4 Q!A host - hostgenerating I;+QAFGH re1uest % I i 3+ G NJINIGQ3TNGA3GK 3+ G +X I rAFGH NJF!+QG AN! K NJ+! QGC3Q A QNK !A G!i G!r NJ,F4GQAFGHKNJ+A QTN4>K .....parsed I;+QAFGH response % I r 3+ G AFGH NJF!+QG AN! KNJ+! QGC3Q A QNK !A G!i G!r NJAFGHQ4CGK .....authentication of ]sun.strongswan.org] with !A signature successfulI;+Q!A host - host % established between%9&.%7:.6.% moon.strongswan.org ...%9&.%7:.6.& sun.strongswan.org

.....3HI4 Q!A host - host L%M established with ! Is cb:b9&fDQi cf%9De%6Qoand G! %9&.%7:.6.%/D& === %9&.%7:.6.&/D&connection ] host - host ] established successfully

TEST / moon ping 1 ping %9&.%7:.6.& J%9&.%7:.6.&K5 Z7 data bytes7@ bytes from %9&.%7:.6.&5 icmpQse1=6 ttl=7@ time=6.@[D ms

(estni scenarij je us%je6no %ro6ao. I* is%isa se vidi )inija]parsed I;+QAFGH

response.*NJF!+QG AN! K] koja %otvr=uje kori6tenje trans%ortnog načina. (ako=er@

moon us%je6no 6a)je ping %remasun .

9 3 %*$#%*$<r"-$*

(une) koji 5e s%ojiti %odmreže i*a gate'a! ure=ajamoon i sun @ res%ektivno@ se kon#igurira

insta)iranjem0trap eroute na gate'a! ure=ajumoon tako da se %ostaviautoCroute u

ipsec.conf datoteci. S)jede5i ping koji je %os)ao k)ijentalice i*a gate'a! ure=aja

moon do k)ijentabob )ociranog i*a gate'a! ure=ajasun %okre5e0trap eroute i vodi doautomatske us%ostave %odmreža/%rema/%odmreži tune)a.

+'

S)ika 3- J Mre*na topologi)a testnog scenari)a


PRE-TEST

!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........

ping %6.&.6.%6 J%6.&.6.%6K5 Z7 data bytes7@ bytes from %6.&.6.%65 icmpQse1=% ttl=7& time=%@.@&@ ms7@ bytes from %6.&.6.%65 icmpQse1=& ttl=7& time=6.::6 ms7@ bytes from %6.&.6.%65 icmpQse1=D ttl=7& time=6.7@9 ms7@ bytes from %6.&.6.%65 icmpQse1=@ ttl=7& time=&@.Z6@ ms7@ bytes from %6.&.6.%65 icmpQse1=Z ttl=7& time=&7.6Z7 ms7@ bytes from %6.&.6.%65 icmpQse1=7 ttl=7& time=%Z.6%@ ms7@ bytes from %6.&.6.%65 icmpQse1=[ ttl=7& time=6.:D& ms7@ bytes from %6.&.6.%65 icmpQse1=: ttl=7& time=DD.[%& ms7@ bytes from %6.&.6.%65 icmpQse1=9 ttl=7& time=6.@:9 ms

TEST / moon ipsec status D grep 6net-net.FRB TE A T E;6A moon cat ?4ar?8og?c'aron.8og D grep 6creating ac uire Go261

net-netL%M5 TFG+ 0 GFNN+4

Yun &D 6%5D[5&% %& ;N4 creating ac1uire job for policy%9&.%7:.6.%/D& &ZZ === %9&.%7:.6.&/D& &ZZ with re1id L%M

(estni scenarij je us%je6no %ro6ao. Pokretanjemipsec status nared<e na gate'a! ure=aju

moon te čitanjemcharon.log datoteke se može se uvjeriti u us%je6nu us%ostav)jenost

tune)a.

-

9 6 4r"$"4"r$<d-a5

Koriste5ileft|right|protoport se)ektore@ dva IPsec tune)a i*me=u mo<i)nog k)ijenta

carol i gate'a! ure=aja moon su de#inirana. Prvi IPsec S" je ograničen na IC8P %akete@

a drugi %okriva (CP SSF ve*e. Us%ostav)jeni tune)i se testiraju tako dacarol 6a)je ping

%rema k)ijentualice i*a gate'a! ure=ajamoon i onda us%ostav)ja SSF sesiju %rema tom

istom k)ijentu.

Sli(a 6 = Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home-icmp % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6

.....authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A home-icmpgenerating I;+QAFGH re1uest %.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home-icmp % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.or

g.....

-1

3HI4 Q!A home-icmpL%M established with ! Is c@cZ9abaQi c:e:%be&Qoand G! %9&.%7:.6.%66/D& icmp === %6.%.6.6/%7 icmpconnection ]home-icmp] established successfully

establishing 3HI4 Q!A home-sshgenerating 3 +AG+Q3HI4 Q!A re1uest & NJ+! QGC3Q A QNK !A No G!i

G!r sending pac"et5 from %9&.%7:.6.%66 @Z66 to %9&.%7:.6.% @Z66 JD@:bytesKrecei$ed pac"et5 from %9&.%7:.6.% @Z66 to %9&.%7:.6.%66 @Z66 J&6@bytesKparsed 3 +AG+Q3HI4 Q!A response & NJ+! QGC3Q A QNK !A No G!i G!r .....3HI4 Q!A home-sshL&M established with ! Is c&faf[acQi c6b:De6%Qo andG! %9&.%7:.6.%66/D& tcp === %6.%.6.6/%7 tcp/sshconnection ]home-ssh] established successfully

TEST /caro8 pingA a8ice ss'd onestartA caro8 ss'1IN %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes

7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z[[ msIN %6.%.6.% J%6.%.6.%K5 Z7 data bytes

7@ bytes from %6.%.6.%5 icmpQse1=6 ttl=7@ time=6.@D& ms

JaliceK !tarting sshd.

+3 !A "ey fingerprint isbd5[75b95cZ5:95%75&Z5eD5Z95975bd59&5fa5Zf57f5[%.Are you sure you want to continue connecting Jyes/noK^ yesBarning5 ermanently added ]%6.%.6.%6] J+3 !AK to the list of "nownhosts.

(estni scenarij je us%je6no %ro6ao.carol us%je6no 6a)je ping %rema k)ijentualice i*a gate'a! ure=ajamoon i onda us%ostav)ja SSF sesiju %rema tom istom k)ijentu.

9 8 r'<0*r$


"utenti#ikacija se teme)ji na*09:; erti1ikatima0 Kako <i se testirao us%ostav)jeni tune)@

carol i da$e 6a)ju ping %rema k)ijentualice i*a gate'a! ure=ajamoon .

-2



S)ika ! J Mre*na topologi)a testnog scenari)a


PRE-TEST!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ...!tarting strong!wan Z.6.@ I sec starter ........initiating I;+Q!A home % to %9&.%7:.6.%generating I;+Q!AQINIG re1uest 6.....parsed I;+Q!AQINIG response 6.....

authentication of ]carol8strongswan.org] JmyselfK with !A signaturesuccessful.....establishing 3HI4 Q!A homegenerating I;+QAFGH re1uest.....parsed I;+QAFGH response %.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.%66 carol8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....3HI4 Q!A homeL%M established with ! Is c[:6D&&ZQi c9c79f7@Qo and G!%9&.%7:.6.%66/D& === %6.%.6.6/%7connection ]home] established successfully

initiating I;+Q!A home % to %9&.%7:.6.%.....authentication of ]da$e8strongswan.org] JmyselfK with !A signaturesuccessful.....authentication of ]moon.strongswan.org] with !A signaturesuccessfulI;+Q!A home % established between%9&.%7:.6.&66 da$e8strongswan.org ...%9&.%7:.6.% moon.strongswan.org

.....

-3



3HI4 Q!A homeL%M established with ! Is c[:[e6DdQi c%99d%a@Qo and G!%9&.%7:.6.&66/D& === %6.%.6.6/%7connection ]home] established successfully

TEST / carol ping A da$e ping 1 ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.Z@& ms

ping %6.%.6.%6 J%6.%.6.%6K5 Z7 data bytes7@ bytes from %6.%.6.%65 icmpQse1=6 ttl=7D time=6.@76 ms



-!

3 Za)5j-(a)

Ovaj rad se teme)ji na %rogramskom %aketu strongSwan. (o je 7P> rje6enjeteme)jeno na IPsec/u otvorenog koda. On do)a*i u* mno6tvo %rimjera odnosno testni0scenarija u kojima se testiraju ra*ne kom<inacije %arametara %ri %ostav)janju sigurne ve*ei*me=u čvorova. Origina)no su ti testni scenariji namijenjeni *a ,inuA o%eracijske sustave@a *adatak ovog rada je <io %ri)agoditi te testne scenarije kako <i radi)i na ree S4o%eracijskom sustavu u %rogramu Imunes koji je donio us%je6ne re*u)tate. Imunes je sustavkori6ten *a emu)aciju?simu)aciju IP mreža u stvarnom vremenu@ a %o6to ra*)ičiti testniscenariji mogu koristiti ra*)ičite mrežne to%o)ogije@ Imunes je od)ično %os)užio *ademonstraciju ti0 testni0 scenarija. Kako <i se testni scenariji mog)i demonstrirati@ *a svakiod nji0 su se mora)e %ri%remiti odre=ene datoteke. (ako se svaki testni scenarij na)a*i u %ose<nom direktoriju koji sadrži direktorije svakog kori6tenog čvora u tom testnomscenariju@ Imunes datoteku koja sadrži mrežnu to%o)ogiju tog testnog scenarija te skri%tukoja ko%ira datoteke i* direktorija čvorova na istoimene virtua)ne čvorove koji su %okrenuti u Imunesu. Unutar ti0 direktorija se na)a*e kon#iguracijske datoteke

ipsec.conf koja s)uži *a kon#iguraciju IPsec ve*[email protected] koja sadrži tajne@

strongswan.conf te direktorijipsec.d koji sadrži ra*ne certi#ikate. Pri%rem)jeno je

-2 testni0 scenarija Dod ras%o)oživi0 313E od koji0 je us%je6no %ri)ago=eno i demonstriranonji0 33. U njima se koriste ra*ne metode autenti#ikacije@ ra*ni a)goritmi 6i#riranja@ ra*ni %rotoko)i i %arametri u %rocesu ostvarenja IPsec ve*e. a*)o*i *<og koji0 neki testniscenariji ne rade su ra*ni. >eki %ro<)emi su rije6ivi?rije6eni u* dodatnu %ri)agoda njima se može i da)je raditi tako da se *a %ojedine

testne scenarije otkriju točni ra*)o*i nji0ove ne#unkciona)nosti nakon čega se mogu %oku6ati modi#icirati kako <i %roradi)i.

-$

6 L,$*ra$-ra

1V S( >@ " >4 "S strongS'an = IPsec for #inux @0tt% ??www.strongswan.org?@2+.&.2 1!.

2V I 4, @ S( 7 An Illustrated +uide to IPsec @0tt% ??www.uniAwi*.net?tec0ti%s?iguide/i%sec.0tm)@ 1$.3.2 1!.

3V F" KI>S W C" , RBC?: = he Internet e! Exchange 5I E4 @0tt% ??too)s.iet#.org?0tm)?r#c2! '@ 1&.3.2 1!.

!V 8IKUC@S",OP K @7"SIX @Z C IMU&ES @0tt% ??imunes.te).#er.0r?@ 2+.&.2 1!.$V strongS'an githu, @

0tt%s ??git0u<.com?strongswan?strongswan?tree?master?testing?host s@ 2+.&.2 1!.&VK >( WS O Securit! architecture for the Internet Protocol RBC :6 @ @

0tt% ??datatracker.iet#.org?doc?r#c!3 1?@ 22.&.2 1!. -V S( >@ " >4 "S 8irtual pri"ate net'or(s @

0tt% ??securit:.0sr.c0?)ectures?In#ormation;Securit:;2?7or)esungsunter)agen? !/7P>;>otes.%d# @ 1&.3.2 1!.

-&

http://www.strongswan.org/

http://www.unixwiz.net/techtips/iguide-ipsec.html


http://tools.ietf.org/html/rfc2409

http://imunes.tel.fer.hr/

https://github.com/strongswan/strongswan/tree/master/testing/hosts



http://datatracker.ietf.org/doc/rfc4301/

http://security.hsr.ch/lectures/Information_Security_2/Vorlesungsunterlagen/04-VPN_Notes.pdf


http://www.strongswan.org/


http://tools.ietf.org/html/rfc2409

http://imunes.tel.fer.hr/


http://datatracker.ietf.org/doc/rfc4301/

8 Saž*$a)

Prilagodba kon1igura ija za demonstra iju i provjeru rada programskogpaketa strong%6an u sustavu ,munes

Ovaj rad se odvija u neko)iko koraka. (eme)ji se na kori6tenju %rogramskog %aketastrongSwan *<og čega je %rvo deta)jno o%isan strongSwan@ kao i njegova struktura i načinrada. S)ijedi %ri%rema radne oko)ine insta)acijom o%eracijskog sustava ree S4@kom%aj)iranja kerne)a s %odr6kom *a IPsec@ insta)acijom sustava Imunes@ te konačno@

insta)acijom samog %rogramskog %aketa strongSwan unutar sustava Imunes. (ada se mog)okrenuti na testiranje scenarija. a*ni testni scenariji imaju ra*ne mrežne to%o)ogije@ ra*nenačine autenti#ikacije@ a)goritme 6i#riranja@ %rotoko)e i %arametre %omo5u koji0 seostvaruje IPsec ve*a. >eki testni scenariji su us%je6no %ri)ago=eni novoj radnoj oko)inikojima je ostvaren genera)ni *adatak dok neki nisu %ro#unkcionira)i. >a njima se moženastaviti raditi i %ri)ago=avati kako <i i oni %ro#unkcionira)i.

K)jučne riječi strongswan@ i%sec@ imunes@ #ree<sd@ testni scenariji.

4on1iguration adjustment 1or demonstration and operation testing o1 t$eprogram suite strong%6an in t$e ,munes s"stem

(0is work goes t0roug0 severa) ste%s. It is <ased on using t0e strongSwan so#twaresuite w0ic0 is w0: it is descri<ed in detai) #irst@ as we)) as its structure and wa: o# #unctioning. >eAt ste% is t0e %re%aration o# works%ace <: insta))ing t0e ree S4o%erating s:stem@ recom%i)ing t0e kerne) wit0 IPsec su%%ort@ insta))ing t0e Imunes s:stem

and@ #ina)):@ insta))ing strongSwan so#tware suite itse)# wit0in t0e Imunes s:stem. "#ter t0atever:t0ing was read: #or scenarios testing 4i##erent test scenarios 0ave di##erent network

Diplomski Rad 684

Documents

Transcript of Diplomski Rad 684