Файлы System/bin Android 12. Справочник.


  Все     Команда     Скрипт     Служба     Приложение  

racoon
Демон для управления туннелем ISAKMP в IPSec

Тип файла: команда
  Eng  

usage: racoon <interface> <server> [...],

Где [...] могут быть:


udppsk
<identifier>
<pre-shared-key>
<port>


udprsa
<user-private-key>
<user-certificate>
<ca-certificate>
<server-certificate>
<port>


xauthpsk
<identifier>
<pre-shared-key>
<username>
<password>
<phase1-up>
<script-arg>


xauthrsa
<user-private-key>
<user-certificate>
<ca-certificate>
<server-certificate>
<username>
<password>
<phase1-up>
<script-arg>


hybridrsa
<ca-certificate>
<server-certificate>
<username>
<password>
<phase1-up>
<script-arg>

   

Комментарии
IPSec — набор техник и протоколов по организации защищенного соединения

Для IPSec не создается явных туннельных интерфейсов, через которые можно маршрутизировать трафик.
Вместо этого в IPSec предусмотрена концепция так называемых Security Assotiations (SA).
SA - это туннель от одного сетевого устройства к другому.

SA — не сетевой интерфейс, классическая маршрутизация здесь не используется.
Вместо таблицы маршрутизации применена концепция Security Policy (SP).


Фреймворк ISAKMP содержит описание процедур IPSec.
В нем описываются термины SA, SP, SAD (Security Assotiations Database),
SPD (Security Policy Database), необходимость установки вспомогательных туннелей.

ISAKMP вводит необходимые определения, чтобы не зависеть от технологий туннелирования,
алгоритмов аутентификации и шифрования.
IKE(v1/2) — непосредственно протокол аутентифиации, который реализует алгоритмы
обмена ключами и их применение (ISAKMP и IKE являются синонимами).

Перед шифрованием трафика стороны должны договориться о параметрах (и ключах)
этого шифрования. Для этого между обоими сторонами поднимается вспомогательный туннель
(ISAKMP туннель), который действует все время.

Туннель двунаправленный и представляет из себя соединение по UDP (по умолчанию на порту 500).
Для его организации стороны должны проверить подлинность друг друга по совпадению пароля.
Этим занимается протокол IKEv1/2 (Internet Key Exchange). И уже по организованному ISAKMP
туннелю стороны договариваются о шифровании непосредственно пользовательского трафика.

Организация IPSecа делится на две фазы:
- создание вспомогательного туннеля ISAKMP
- создание туннеля пользовательских данных

(https://habr.com/ru/articles/425079)