Endereço IP privado sobre o túnel IPSEC

Navegue suas respostas
1

Eu tenho dois servidores dedicados que eu configurei para exigir AH e ESP entre seus endereços IP (públicos) e usando o racoon eu configurei o isakmp. O túnel IPsec entre eles está funcionando bem - eu posso ver que todo o tráfego entre eles é criptografado (ou seja, o tcpdump mostra apenas o cabeçalho AH e ESP, não importa o tipo de tráfego que estou enviando entre eles).

Agora, estou um pouco paranoico porque em algum momento algo pode acontecer e o serviço de configuração que configura minha política de segurança pode acabar em ambos os servidores. Ou talvez algo aconteça e alguém liberte a política de segurança. E então todo o meu tráfego entre os servidores é descriptografado por semanas ou meses antes que alguém (esperançosamente) perceba.

Pergunta: O que posso fazer para evitar que o tráfego entre esses dois servidores funcione sem criptografia?

Minha solução de meia-inteligência: Uma maneira que pensei em realizar isso foi atribuir a cada um deles um IP privado (digamos 192.168.0.1 e 192.168.0.2 para simplificar) e depois ter todos os meus aplicativos que precisam falar com o outro servidor usam esses IPs privados em vez dos IPs públicos e, em seguida, fazem com que esses IPs privados sejam roteáveis apenas quando o túnel IPsec está ativo.

Perguntas: Essa é uma maneira viável de fazer isso? Eu precisaria de GRE? Ou poderia fazê-lo com simples "ip route add 192.168.0.2/32 via [ip público] dev eth0" (do servidor 1)? Isso é necessário? Qual é a melhor maneira de conseguir isso?

    
por Jeremy Thomerson 25.10.2011 / 04:50

1 resposta

1

A maneira mais simples seria instalar um firewall (nos servidores ou no caminho) que bloqueie qualquer tráfego destinado ao outro servidor que não seja o protocolo 50 (ESP) ou UDP / 500 (ISAKMP). Não está claro por que você precisaria AH, eu estou supondo que você não precisa.

Tendo dito isso, usar o endereçamento privado é sempre sensato para serviços privados, embora confiar em roteamento não seja um mecanismo de segurança.

Na sua configuração IPSEC, você deve ter duas configurações relacionadas ao tráfego, uma seria o gateway (que seria o outro servidor em cada caso), e a outra seria permitido tráfego através da VPN, conhecido como interessado tráfego . Atualmente, esses são os endereços públicos dos seus servidores e você mudaria isso para seus endereços particulares.

Para rotear o tráfego, você só precisa empurrá-lo para fora da interface correta, ele corresponderá às regras tráfego interessado na configuração IPSEC e será criptografado e enviado para o gateway (o outro servidor ).

Então, isso deve ser suficiente: 

ip route add 192.168.0.2/32 dev eth0
    
por 25.10.2011 / 06:07

Tags

Configurações de energia do hub / porta USB do Windows 7 Professional de 32 bits multi-touch para programas que não suportam