- PR -

IPsecにてセキュリティ通信ができてるが平文通信も行えてしまう

1
投稿者投稿内容
れっどきんき
常連さん
会議室デビュー日: 2004/03/11
投稿数: 33
投稿日時: 2004-03-11 16:35
Linux 9+FreeS/WANのRPMファイルよりサーバを構築しました。
構成
社内LAN
+10.131.66.1(GW)
+10.131.66.2(ETH0)
IPSEC(マシン)
+192.168.0.2(ETH1)
+192.168.0.30(Windows XP)
の構成となっています。

service ipsec restartを行い
Windows 2000のポリシーを有効にすると正常にセキュリティ通信を行っています。
tcpdump -i ipsec0にてダンプできます。
しかし、Windows 2000のポリシーを無効にするとETH1に通信ができてしまいます。
なぜでしょうか?

ipsec.conf
------------------------------------------
config setup
interfaces = "ipsec0=eth1"
klipsdebug = none
plutodebug = none
uniqueids = yes
conn kanazawa
type = transport
left = 192.168.0.2
leftnexthop = 192.168.0.1
auth = esp
authby = secret
keylife = 1h
auto = start
right = %any
conn clear
auto = ignore
conn private-or-clear
auto = ignore
conn private
auto = ignore
conn block
auto = ignore
conn clear-or-private
auto = ignore
conn packetdefault
auto = ignore
--------------------------------------------------
ipsec.secrets
----------------------
: PSK "kanazawa"
-----------------------
わかとの
会議室デビュー日: 2002/05/01
投稿数: 2
投稿日時: 2004-03-14 22:23
もしかして、Windows 2000 側でIPsecのフォールバック(IPsec通信が出来ない場合は平文通信を実施する)を有効にしてませんか?
れっどきんき
常連さん
会議室デビュー日: 2004/03/11
投稿数: 33
投稿日時: 2004-03-15 08:46
現在、Windows 2000ではなく、XPで確認しました。
以下の項目にチェックが書かれていました。
・セキュリティで保護されていない通信を受け付けれるが常にIPsecを使って応答
・セッションキーのPFS

FreeS/WANでは、ポリシー設定を行っていないPCおよびUnixにてFreeS/WANの設定を行っていないPCからの進入を防ぐことは不可能なのでしょうか?
Unixの他のコマンドを利用してもセキュリティ通信以外の進入を防御することは可能でしょうか?
1

スキルアップ/キャリアアップ(JOB@IT)