19.14. Estabelecendo uma Conexão IPsec

IPsec significa Internet Protocol Security (Segurança do Protocolo de Internet). É uma solução de Rede Privada Virtual (Virtual Private Network) na qual estabelece-se uma conexão criptografada entre dois sistemas (máquina-a-máquina) ou entre duas redes (rede-a-rede).

DicaDica
 

Visite http://www.ipsec-howto.org/ para mais informações sobre a IPsec.

19.14.1. Conexão Máquina-a-máquina

Uma conexão IPsec máquina-a-máquina é uma conexão criptografada entre dois sistemas, ambos rodando IPsec com a mesma chave de autenticação. Com a conexão IPsec ativa, qualquer rede entre as duas máqinas é criptografada.

Para configurar uma conexão IPsec máquina-a-máquina, use os seguintes passos para cada máquina:

  1. Inicie a Ferramenta de Administração de Rede.

  2. Na aba IPsec, selecione Nova.

  3. Clique em Próximo para começar a configurar a conexão IPsec máquina-a-máquina.

  4. Indique um apelido de uma palavra, como ipsec0 para a conexão e selecione se esta deve ser automaticamente ativada quando o computador inicializa. Clique em Próximo.

  5. Selecione Criptografia máquina a máquina como o tipo de conexão. Clique em Próximo.

  6. Selecione o tipo de criptografia a usar: manual ou automática.

    Se selecionar manual, deverá providenciar uma chave de criptografia posteriormente. Se selecionar automática, o daemon racoon é usado para administrar a chave de criptografia. Se o racoon é usado, o pacote ipsec-tools deve ser instalado.

    Clique em Próximo para continuar.

  7. Especifique o endereço IP da outra máquina.

    Se você não sabe o endereço IP do outro sistema, execute o comando /sbin/ifconfig <device> no outro sistema, onde <device> é o dispositivo Ethernet usdao para conectar à outra máquina. Se existe apenas uma placa Ethernet no sistema, o nome do dispositivo é eth0. O endereço IP é o número seguindo a etiqueta inet addr:.

    Clique em Próximo para continuar.

  8. Se a criptografia manual foi selecionada no passo 6, especifique a chave de criptografia a usar ou clique em Gerar para criar uma.

    Especifique uma chave de autenticação ou clique em Gerar para gerar uma. Pode ser qualquer combinação de números e letras.

    Clique em Próximo para continuar.

  9. Verifique as informações na página IPsec — Resumo e clique em Aplicar.

  10. Selecione Arquivo => Salvar para salvar a configuração.

  11. Selecione a conexão IPsec na lista e clique no botão Ativar.

  12. Repita o processo na outra máquina. É muito importante que as mesmas chaves do passo 8 sejam usadas nas outras máquinas. Caso contrário, a IPsec não fuincionará.

Após configurar a conexão IPsec, esta aparece na lista IPsec, conforme mostra a Figura 19-22.

Figura 19-22. Conexão IPsec

São criados dois arquivos em /etc/sysconfig/network-scripts/ifcfg-<nickname> e keys-<nickname>. Se a criptografia automática é selecionada, o /etc/racoon/racoon.conf também é criado.

Quando a interface é ativada, <remote-ip>.conf e psk.txt são criados em /etc/racoon/, e racoon.conf é modificado para incluir o <remote-ip>.conf.

Consulte a Seção 19.14.3 para determinar se a conexão IPsec foi estabelecida com sucesso.

19.14.2. Conexão Rede-a-rede (VPN)

Uma conexão IPsec rede-a-rede usa dois roteadores IPsec, um para cada rede, através dos quais o tráfego de rede é roteado para sub-redes privadas.

Por exemplo: conforme a Figura 19-23, se a rede privada 192.168.0/24 deseja enviar tráfego para a rede privada 192.168.2.0/24, os pacotes passam através da porta de comunicação0, para ipsec0; através da Internet, para ipsec1, para porta de comunicação 1 e para a sub-rede 192.168.2.0/24.

Os roteadores IPsec devem ter endereços IP publicamnete endereçáveis, assim como um outro dispositivo Ethernet conectado à sua rede privada. O tráfego passa somente se for endereçado para o outro roteador IPsec, com o qual tem uma conexão criptografada.

Figura 19-23. IPsec Rede-a-rede

Opções alternativas de configuração de rede incluem um firewall entre cada roteador IP e a Internet, e um firewall de Intranet entre cada roteador IPsec e a porta de comunicação da sub-rede. O roteador IPsec e a porta de comunicação da sub-rede podem ser um sistema com dois dispositivos Ethernet, um com um endereço IP público, que atua como o roetador IPsec; e um com um endereço IP privado, que atua como a porta de comunicação da sub-rede privada. Cada roteador IPsec pode usar a porta de comunicação de sua rede privada ou porta de comunicação pública para enviar os pacotes ao outro roteador IPsec.

Para configurar uma conexão IPsec rede-a-rede, siga os seguintes passos:

  1. Inicie a Ferramenta de Administração de Rede.

  2. Na aba IPsec, selecione Nova.

  3. Clique em Próximo para começar a configurar a conexão IPsec rede-a-rede.

  4. Indique um apelido de uma palavra, como ipsec0 para a conexão e selecione se esta deve ser automaticamente ativada quando o computador inicializa. Clique em Próximo.

  5. Selecione Criptografia rede-a-rede (VPN) e clique em Próximo.

  6. Selecione o tipo de criptografia a usar: manual ou automática.

    Se você selecionar a manual, deverá providenciar uma chave de criptogafia posteriormente. Se selecionar a automática, o daemon racoon é usado para administrar a chave de criptografia. Se usar o racoon, o pacote ipsec-tools deve ser instalado. Clique em Próximo para continuar.

  7. Na página Rede Local, indique as seguintes informações:

    • Endereço da Rede Local — O endereço IP do dispositivo no roteador IPsec conectado à rede privada.

    • Máscara de Sub-rede Local — A máscara da sub-rede do endereço IP da rede local.

    • Porta de Comunicação da Rede Local — A porta de comunicação da sub-rede privada.

    Clique em Próximo para continuar.

    Figura 19-24. Informações da Rede Local

  8. Na página Rede Remota, indique as seguintes informações:

    • Endereço IP Remoto — O endereço IP publicamente endereçável do roteador IPsec da outra rede privada. Em nosso exemplo, para o ipsec0, indique o endereço IP publicamente endereçável do ipsec1 e vice versa.

    • Endereço da Rede Remota — O endereço de rede da sub-rede privada por trás do outro roteador IPsec. Em nosso exemplo, indique 192.168.1.0 se configurar o ipsec1, e indique 192.168.2.0 se for configurar o ipsec0.

    • Máscara da Sub-rede Remota — A máscara da sub-rede do endereço IP remoto.

    • Porta de Comunicação da Rede Remota — O endereço IP da porta de comunicação do endereço da rede remota.

    • Se a criptografia manual foi selecionada no passo 6, especifique a chave de criptografia a usar ou clique em Gerar para criar uma.

      Especifique uma chave de autenticação ou clique em Gerar para gerar uma. Pode ser qualquer combinação de números e letras.

    Clique em Próximo para continuar.

    Figura 19-25. Informações da Rede Remota

  9. Verifique as informações na página IPsec — Resumo e clique em Aplicar.

  10. Selecione Arquivo => Salvar para salvar a configuração.

  11. Selecione a conexão IPsec na lista e clique no botão Ativar.

  12. Como root, em uma janela de comandos, habilite o encaminhamento do IP:

    1. Edite /etc/sysctl.conf e defina net.ipv4.ip_forward para 1.

    2. Execute o seguinte comando para habilitar a alteração:

      sysctl -p /etc/sysctl.conf

O script de rede para ativar a conexão IPsec cria automaticamente rotas de rede para enviar pacotes através do roteador IPsec, se necessário.

Consulte a Seção 19.14.3 para determinar se a conexão IPsec foi estabelecida com sucesso.

19.14.3. Testando a Conexão IPsec

Use o utilitário tcpdump para visualizar os pacotes de rede sendo transferidos entre as máquinas (ou redes) e verifique se estão criptografados via IPsec. O pacote deve incluir um cabeçalho AH e deve ser exibido como pacotes ESP. ESP significa que está criptografado. Por exemplo:

17:13:20.617872 pinky.example.com > ijin.example.com: \
	    AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF)

19.14.4. Iniciando e Parando a Conexão

Se a conexão IPsec não foi configurada para ativar no momento da inicialização, inicie-a e páre-a, como root, através da linha de comandos.

Para iniciar a conexão, execute o seguinte comando, como root, em cada máquina para o IPsec máquina-a-máquina ou em cada roteador IPsec para o IPsec rede-a-rede (substitua <ipsec-nick> pelo apelido de uma palavra configurado anteriormente, tal como ipsec0):

/sbin/ifup <ipsec-nick>

Para parar a conexão, execute o seguinte comando, como root, em cada máquina para o IPsec máquina-a-máquina ou em cada roteador IPsec para o IPsec rede-a-rede (substitua <ipsec-nick> pelo apelido de uma palavra configurado anteriormente, tal como ipsec0):

/sbin/ifdown <ipsec-nick>