strongSwan:ipsec.secrets - 用于IKE/IPsec身份验证的机密

已于 2022-05-18 11:41:50 修改
阅读量1.8k 收藏 2
点赞数 1
分类专栏: 网络安全系列 文章标签: strongswan ipsec.secrets
于 2022-05-18 11:22:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhd1988/article/details/124838662
版权

文件描述

        文件ipsec.secrets包含一个机密表。这些机密被StrongSwan的网络密钥交换(IKE)守护程序pluto(IKEv1)和charon(IKEv2)使用,来验证其他主机。

        保护这些机密至关重要。 该文件应由超级用户拥有,其权限应设置为阻止其他人访问。

文件内容

        该文件是一系列条目并包含指令。如下示例:

# /etc/ipsec.secrets - strongSwan IPsec secrets file
192.168.0.1 %any : PSK "v+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL"

: RSA moonKey.pem

alice@strongswan.org : EAP "x3.dEhgN"

carol : XAUTH "4iChxLT3"

dave  : XAUTH "ryftzG4A"

# get secrets from other files
include ipsec.*.secrets

如上示例包含了可能在一个ipsec.secrets文件中出现的三种类型的内容:

  • 机密条目;
  • 注释;
  • 包含(include)指令。

包含指令

        指令include导致在继续当前文件之前处理指定文件的内容。 文件名受sh(1)中的“globbing”影响,因此每个具有匹配名称的文件都会被处理。 包含可以嵌套到适度的深度(当前为10)。 如果文件名不以“/”开头,则包含当前文件的目录将添加到名称前面。 include指令是以include开头的一行,后跟空白,后跟文件名(不能包含空格)。

注释

        行末尾的空格将被忽略。在行的开头或空白之后,如果是“#”,则其后直到行尾的文本被视为注释。

机密条目

        文件中的每个条目都是由可选的”ID选择器“,后跟一个“机密”的形式组成。这两个部分由冒号(:)分隔,冒号被空格包围。如果未指定“ID选择器”,则该行必须以冒号开头。

        ”ID选择器“可以是

  • IP地址
  • 完全限定域名
  • 用户@FQDN
  • %any
  • %any6
  • 以后可能会有其他类型

        匹配”ID选择器“非常简单:它们必须相同。在“Road Warrior(经常出差的人)”连接的情况下,如果没有找到对等ID的相等匹配,并且它是IP地址的形式,则选择器%any将匹配对等方的IP地址(如果IPv4的情况);在IPv6情况中,%any6将匹配对等方的IP地址。目前,可以使用过时的符号0.0.0.0代替%any。

        在IKEv1中,在通过预共享密钥进行认证的情况下出现了额外的复杂性:响应者将需要在对等的ID有效载荷被解码之前查找“机密”,因此使用的“ID选择器”将是IP地址。

        为了验证两台主机之间的连接,将使用最匹配主机和对等ID的条目。没有选择器的条目将匹配任何主机和对等体。更具体地说,如果“ID选择器”与主机的ID匹配(不考虑对等体),则具有一个选择器的条目将匹配主机和对等体。更具体地说,如果主机ID和对等ID分别与选择器之一匹配,则具有多个选择器的条目将匹配主机和对等体。如果密钥用于非对称认证技术(即诸如RSA的公共密钥系统),则具有多个选择器的条目将匹配主机和对等体,即使仅主机ID与选择器匹配(假设选择器是主机所有标识符)。只要他们就机密或私钥达成一致,两个条目就是最佳匹配是可以接受的。

        通过预共享机密进行认证要求两个系统都找到相同的机密(机密实际上不是由IKE协议传输的)。如果主机和对等体都出现在选择器列表中,则相同的条目将适用于两个系统,因此可以使用系统之间的逐字复制。这自然延伸到共享相同机密的较大群体。因此,对于PSK认证,多选择器条目是最适合的。

        通过RSA等公钥系统进行身份验证,需要每个主机都有自己的私钥。主机可以合理地为不同的接口和不同的对等体使用不同的私钥。但是在系统之间共享条目是不正常的。因此,无选择器和单选择器形式的入口通常对公钥认证有意义。

        条目的“机密”部分必须以表示密钥类型的标记开头。 目前支持以下类型的机密:

	PSK    defines a pre-shared key
	RSA    defines an RSA private key
	ECDSA  defines an ECDSA private key
	P12    defines a PKCS#12 container
	EAP    defines EAP credentials
	NTLM   defines NTLM credentials
	XAUTH  defines XAUTH credentials
	PIN    defines a smartcard PIN

下面给出了每种机密的详细信息。

TYPES OF SECRETS

[ <selectors> ] : PSK <secret>
预共享密钥最方便地表示为字符序列,由双引号字符(”)分隔。序列不能包含换行符或双引号字符。
或者,预共享机密可以表示为十六进制或Base64编码的二进制值。 以0x开头的字符序列被解释为十六进制数字序列。 类似地,以0开头的字符序列被解释为Base64编码的二进制数据

: RSA <private key file> [ <passphrase> | %prompt ]
: ECDSA <private key file> [ <passphrase> | %prompt ]
对于私钥文件,接受相对于/etc/ipsec.d/private的绝对路径或路径。 如果私钥文件已加密,则必须定义密码。 可以使用密码短语%prompt,而不是密码短语,然后在需要解密密钥时使守护进程向用户询问密码。

: P12 <PKCS#12 file> [ <passphrase> | %prompt ]
对于PKCS#12文件,接受相对于/etc/ipsec.d/private的绝对路径或路径。 如果容器已加密,则必须定义passphrase。 可以使用密码短语%prompt,而不是密码短语,然后在需要解密容器时使守护进程向用户询问密码。 从容器中提取私钥,客户端和CA证书。 在连接集中使用此类客户端证书,该证书的主题之一是leftid。

<user id> : EAP <secret>
机密的格式与PSK机密的格式相同。
EAP机密仅限IKEv2。

<user id> : NTLM <secret>
机密的格式与PSK机密的格式相同,但机密存储为NTLM哈希,即MD4(UTF-16LE(机密)),而不是明文。
NTLM机密只能与eap-mschapv2插件一起使用。

[ <servername> ] <username> : XAUTH <password>
密码的格式与PSK机密的格式相同。 XAUTH机密只是IKEv1。

: PIN %smartcard[<slot nr>[@<module>]]:<keyid> <pin code> | %prompt
智能卡选择器始终需要keyid来唯一地选择正确的密钥。 插槽号定义令牌上的插槽,模块名称指的是在strongswan.conf(5)中定义的模块名称。 可以指定%prompt,而不是静态指定pin代码,这会导致守护进程向用户询问pin代码。

注意事项

        如果ID为0.0.0.0,则匹配%any;如果它是0::0,它将匹配%any6。

参考手册

ipsec.conf(5), strongswan.conf(5), ipsec(8)

技术探索者
关注
专栏目录
网络协议 — IPSec 安全隧道协议族
烟云的计算
05-25 3879
安全封装协议(Encapsulating Security Payload,ESP)也是一种封装协议,与 AH 不同的是,ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包,以保证数据的机密性,但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合,则应该使用主模式。值得注意的是,IKE 不是简单的在网络上传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
ipsec~strongSwan
whaosoft143ai的博客
06-12 2377
但是我这里是在使用VPP的vpp_sswan插件安装的,改了默认配置文件地址,在/etc中。最后排查发现,可能就是差了一个sudo systemctl restart strongswan.service,所以还是把这个服务给启动吧,然后上述解决步骤应该就不需要了。使用二进制包也行,就是用sudo apt install strongswan strongswan-swanctl,还有没有需要安装的我不晓得。按照那两个一开始的参考说的,现在使用的都是swanctl了,而不使用starter的方式了。
ipsec.secrets
bytxl的专栏
01-04 4488
IPSEC.SECRETS(5) strongSwan IPSEC.SECRETS(5) NAME ipsec.secrets - secrets for IKE/IPsec authentication DESCRIPTION The file ipsec.secrets holds a table of secrets. These
CentOS7搭建L2TP over IPsec
最新发布
专注于Linux运维相关领域
07-16 478
先看看你的主机是否支持pptp,返回结果为yes就表示通过。是否开启了TUN,有的虚拟机主机需要开启。
IPSEC.SECRETS(5) - IKE/IPsec认证所使用到的密钥信息
Rain
07-24 7620
IPSEC.SECRETS NAME ipsec.secrets - IKE/IPsec认证所使用到的密钥信息 DESCRIPTION ipsec.secrets包含了预密钥、RSA签名、X509数字证书,这些信息被ipsec_pluto(8)使用。当前一共有5种密钥:预共享密钥、RSA私钥、X509证书口令、XAUT
通过Kubernetes Secrets配置开放自由数据源
danpob13624的博客
04-08 131
在Open Liberty中,数据源凭据的配置通常在server.xml文件中完成。 如果我们使用容器和容器编排,则理想情况下我们将使用“基础结构即代码”,并将所有配置存储在版本控制下。 但是,对于这些数据源凭据,这当然是不希望的。 出于这个原因,Kubernetes秘密定义使我们能够分别存储对集群中的每个人都不可见的秘密值。 在Open Liberty中,我们可以定义一个可选的boot...
ipsec.d/default.secrets 配置
Yttsam的博客
04-20 341
在上面的示例中,有两个用户(xauth_user1和xauth_user2)可以通过EAP-MSCHAPv2进行XAUTH TLS认证,并使用指定的密码进行连接。此外,文件中还定义了两个预共享密钥。第一个可用于与IP地址10.0.0.1的远程端点进行VPN连接,而第二个则可用于与CIDR子网掩码为192.168.1.0/24的远程端点进行VPN连接。ipsec.d/default.secrets文件是IPSec VPN连接中用于预共享密钥(PSK)认证的配置文件。建议先备份原始文件,以防意外问题。
strongSwanipsec.secrets配置手册
衡水铁头哥的博客
07-09 1643
strongSwan是一个开源的基于IPsec的VPN解决方案,ipsec.secretsstrongSwan的关键配置,文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换(Internet Key Exchange,IKE)守护程序pluto(IKEv1)和charon(IKEv2)用于验证其他主机。这些密钥必须被妥善保管,该文件应为超级用户所有,其权限应设置为阻止其他人的所有访问。...
ipsec隧道通信.pdf
11-12
IPSec(Internet Protocol Security)是一种用于保护网络数据传输的安全协议,它通过加密和身份验证来确保数据在互联网上的安全传输。IPSec隧道通信是IPSec实现的一种方式,它允许两个网络之间建立一个安全的通信...
CentOS7部署l2tp/IPsec服务
weixin_30539835的博客
01-12 2473
1、安装必要的工具 yum install vim net-tools wget unzip -y 2. 下载安装脚本 wget -O StackScript.zip http://files.cnblogs.com/files/think8848/StackScript.zip 3. 解压文件 unzip StackScript.zip 4. 执行...
Centos7.5 系统使用L2TP/IPSec搭建服务器
weixin_34037515的博客
10-09 6479
一、L2TP介绍1、L2TP定义L2TP(Layer 2 Tunneling Protocol,二层隧道协议),通过公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信...
如何使用IPSec增强Linux服务器安全性
IPSec(Internet Protocol Security)是一种用于确保网络通信安全性的协议套件。它提供了加密、认证和完整性保护,以确保数据在传输过程中的安全性。IPSec被广泛应用于构建安全的虚拟专用网络(VPN)和加密通信链路...
简要解释IPSec架构、身份验证标头(AH)、封装安全有效负载(ESP)、Internet密钥交换(IKE)以及构成IPSec整个操作的加密算法
weixin_35753431的博客
01-22 603
IPSec 是一种网络层安全协议,用于确保 Internet 协议(IP)通信的安全性。它包括两种模式:身份验证标头 (AH) 和封装安全有效负载 (ESP)。 AH 模式提供数据完整性和身份验证功能,但不提供加密。ESP 模式提供数据完整性、身份验证和加密功能。 Internet 密钥交换 (IKE) 是用于建立和维护 IPSec 通信的协议。它负责生成和交换密钥,并确保密钥的安全性。 在 IP...
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
IPsec 点到点场景配置搭建
m0_57218686的博客
05-15 928
搭建IPsec站点到站点,认证方式为PSK,密钥交换协议为IKEv1
看了一次strongswan ipsec的设置.
塞子 迷糊地....
07-15 1344
测试使用 strongswan与 hillstone防火墙建立ipsec连接
strongswan 搭建ikev1 for Android and iOS
sonflower123的博客
10-16 7208
1.关于strongswan 的介绍  srongswan 是基于ipsec 的开源 vpn 服务器,目前已经实现了ikev1 和 ikev2的vpn 服务器,其官网上有相应的示例,但如果是初学者来说,可能会比较难,本人就是一个菜鸟,刚开始做的时候,一头雾水,网上的资源也相对较少,因此本人整理关于如何搭建ikev1 模式的vpn 服务器,并且测试成功  2.  安装strongswan
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2924
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
strongSwanipsec.conf – IPsec 的配置和连接
hhd1988的专栏
05-18 5475
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
ipsec.secrets的PSA配置
05-18
IPsec中,ipsec.secrets文件用于存储预共享密钥和证书等安全凭证。以下是在PSA(Pluto Systemd Automation)中配置ipsec.secrets的步骤: 1. 打开ipsec.secrets文件:`sudo nano /etc/ipsec.secrets` 2. 添加以下行来指定预共享密钥: ``` <客户端IP> <服务器IP> : PSK "预共享密钥" ``` 其中,`<客户端IP>`和`<服务器IP>`分别是客户端和服务器的IP地址,`预共享密钥`是事先约定好的共享密钥。 3. 添加以下行来指定证书: ``` <客户端IP> <服务器IP> : X509 "/路径/到/证书.pem" "/路径/到/私钥.pem" ``` 其中,`<客户端IP>`和`<服务器IP>`分别是客户端和服务器的IP地址,`/路径/到/证书.pem`和`/路径/到/私钥.pem`是证书和私钥的路径。 4. 保存并关闭文件。 5. 重启IPsec服务以使更改生效:`sudo systemctl restart strongswan.service` 注意:在配置证书时,需要确保证书和私钥的权限设置正确,并且证书和私钥必须匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术探索者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值