Hvordan implementere IPsec i Linux

Denne opplæringen forklarer hvordan du implementerer IPsec -protokollen for å beskytte internettforbindelsen ved hjelp av Stongswan og ProTonvpn.

IPsec Basics:

IPsec er en sikker protokoll på nivå 3. Det gir sikkerhet for transportlaget og overlegen både med IPv4 og IPv6.
IPsec jobber med 2 sikkerhetsprotokoller og en nøkkelstyringsprotokoll: Esp (Innkapsling av sikkerhets nyttelast), Ah (Autentiseringsoverskrift), og Ike (Internett -nøkkelutveksling).
Protokoller Esp og Ah gi forskjellige sikkerhetsnivåer og kan operere i transportmodus og tunnelmodus. Tunnel- og transportmodus kan brukes både med ESP- eller AH -implementering.
Mens AH og ESP jobber på forskjellige måter, kan de blandes for å gi forskjellige sikkerhetsfunksjoner.

Transportmodus: Den originale IP -overskriften inneholder informasjon om avsender og destinasjon.

Tunnelmodus: En ny IP -overskrift som inneholder kilde- og destinasjonsadresser implementeres. Original IP kan avvike fra den nye.

Ah, protokoll (autentiseringsoverskrift): AH-protokollen garanterer pakker punkt-til-punkt integritet og autentisering for transport- og applikasjonslag bortsett fra variable data: TOS, TTL, flagg, sjekksum og forskyvning.
Brukere av denne protokollen sikrer at pakker ble sendt av en ekte avsender og ikke ble endret (som det ville skje hos en mann i mellomangrepet).
Følgende figur beskriver implementeringen av AH -protokollen i transportmodus.

ESP -protokoll (innkapsling av sikkerhets nyttelast):

Protokollen ESP kombinerer forskjellige sikkerhetsmetoder for å sikre pakker integritet, autentisering, konfidensialitet og tilkoblingssikkerhet for transport og applikasjonslag. For å oppnå dette, implementerer ESP -autentiserings- og krypteringsoverskrifter.

Følgende bilde viser implementering av ESP -protokollen som opererer i tunnelmodus:

Ved å sammenligne den forrige grafikken, kan du innse at ESP -prosessen dekker originale overskrifter som krypterer dem. Samtidig legger Ah til en autentiseringshode.

Ike Protocol (internettnøkkelutveksling):

IKE administrerer sikkerhetsforeningen med informasjon som IPsec Endpoint -adresser, nøkler og sertifikater, etter behov.

Du kan lese mer om IPsec på hva som er IPsec og hvordan det fungerer.

Implementering av IPsec i Linux med Strongswan og ProTonvpn:

Denne opplæringen viser hvordan du implementerer IPsec -protokollen i Tunnelmodus ved hjelp av Strongswan, en open source IPsec-implementering, og protonvpn på Debian. Trinnene beskrevet nedenfor er de samme for debianbaserte distribusjoner som Ubuntu.

For å begynne å installere Strongswan ved å kjøre følgende kommando (Debian og baserte distribusjoner)

sudo apt installer sterktswan -y

Etter at Strongswan er installert, kan du legge til nødvendige biblioteker ved å utføre:

sudo apt install libstrongswan-extra-plugins libcharon-extra-plugins

For å laste ned ProTonVPN ved å bruke WGET RUN:

wget https: // protonvpn.com/download/protonvpn_ike_root.der -o /tmp /protonvpn.der

Flytt sertifikater til IPsec -katalogen ved å kjøre:

sudo mv /tmp /protonvpn.der /etc /ipsec.d/cacerts/

Gå nå til https: // protonvpn.com/ og trykk på Få ProTonVPN nå grønn knapp.

trykk på knappen FÅ GRATIS.

Fyll ut registreringsskjemaet og trykk på den grønne knappen Opprett en konto.

Kontroller e -postadressen din ved hjelp av bekreftelseskoden sendt av ProTonVPN.

En gang i dashbordet, klikk på Konto> OpenVPN/IKEV2 Brukernavn. Dette er legitimasjonen du trenger for å redigere IPsec -konfigurasjonsfilene.

Rediger filen /etc /ipsec.Conf ved å løpe:

/etc/ipsec.konf

Under Eksempel på VPN -tilkoblinger, Legg til følgende:

MERK: Hvor Linuxhint er tilkoblingsnavnet, et vilkårlig felt. må erstattes av brukernavnet ditt som finnes på Protonvpn Dashbord under Konto> OpenVPN/IKEV2 Brukernavn.

Verdien NL-Free-01.protonvpn.com er den valgte serveren; Du kan finne flere servere i dashbordet under nedlastinger> ProTonVPN -klienter.

Conn Linuxhint
Venstre =%defaulTroute
LeftSourceIp =%konfigurasjon
LeftAuth = EAP-MSCHAPV2
EAP_Identity =
høyre = NL-Free-01.protonvpn.com
Rightsubnet = 0.0.0.0/0
RightAuth = Pubkey
RightID =%NL-Free-01.protonvpn.com
Rightca =/etc/iPsec.d/cacerts/protonvpn.der
KeyExchange = IKEV2
type = tunnel
Auto = Legg til

trykk Ctrl+x å redde og lukke.

Etter redigering /etc /iPsec.Konf du må redigere filen /etc/ipsec.hemmeligheter som lagrer legitimasjon. For å redigere denne filkjøringen:

nano /etc /ipsec.hemmeligheter

Du må legge til brukernavnet og tasten ved hjelp av syntaks "Bruker: EAP -nøkkel”Som vist på følgende skjermbilde, der VGGXPJVRTS1822Q0 er brukernavnet og B9HM1U0OVPEOZ6YCZK0MNXIOBC3JJACH nøkkelen; Du må erstatte dem begge for din faktiske legitimasjon som finnes i dashbordet under Konto> OpenVPN/IKEV2 Brukernavn.

Trykk CTRL+X for å lagre og lukke.

Nå er det på tide å koble til, men før du kjører ProTonVPN, start IPsec -tjenesten på nytt ved å kjøre:

sudo ipsec omstart

Nå kan du koble til løping:

sudo ipsec up linuxhint

Som du ser ble forbindelsen etablert med hell.

Hvis du vil slå av ProTonVPN, kan du kjøre:

sudo ipsec ned linuxhint

Som du kan se, ble IPsec deaktivert ordentlig.

Konklusjon:

Ved å implementere IPsec, utvikler brukerne seg drastisk i sikkerhetsproblemer. Eksemplet over viser hvordan du distribuerer IPsec med ESP -protokoll og IKEV2 i tunnelmodus. Som vist i denne opplæringen er implementeringen veldig enkel og tilgjengelig for alle Linux -brukernivåer. Denne opplæringen forklares ved hjelp av en gratis VPN -konto. Fortsatt kan IPsec -implementeringen beskrevet ovenfor forbedres med premiumplaner som tilbys av VPN -tjenesteleverandører, og få mer fart og flere proxy -lokasjoner. Alternativer til ProTonvpn er Nordvpn og ExpressVPN.

Når det gjelder Strongswan som en åpen kildekode IPsec-implementering, ble det valgt for å være et alternativ med flere plattformer; Andre alternativer tilgjengelig for Linux er Libreswan og OpenSwan.

Jeg håper du fant denne opplæringen for å implementere IPsec i Linux nyttig. Fortsett å følge Linuxhint for flere Linux -tips og opplæringsprogrammer.