Trong phần này chúng tơi sẽ chỉ trình bày về cấu hình phần mềm TRANSCRYPT với việc thiết lập bằng khố bí mật. Với thiết lập cấu hình phần mềm bằng khố cơng khai đ−ợc trình bày trong ch−ơng 4 (Trao đổi khố). Cấu hình phần mềm
/etc/transcrypt/ip-up và /etc/transcrypt/ip-down. Trong đó 2 file ip-up và ipdown là 2 file shell script, có thể copy từ th− mục sample/ trong bản phân phối TRANSCRYPT, và chỉnh sửa lại cho phù hợp với cấu hình mạng của bạn. Trong đó quan trọng là file ip-up cần phải đ−ợc sửa dòng sau:
route add -net 129.3.0.0 dev crypt0 gw 129.3.0.0
Cần l−u ý: sau tham số ‘-net’ là địa chỉ mạng con của mạng bên kia, và sau tham số ‘gw’ là địa chỉ của card mạng của máy bên kia mà đ−ợc nối với mạng con đó. Trong phần này chúng tơi sẽ chỉ trình bày kỹ về các tuỳ chọn với file cấu hình options.
2.1 Các tuỳ chọn đặc biệt
Tất cả các tham số cấu hình đ−ợc xử lý bởi ch−ơng trình daemon 'transcryptd'. Các tham số có thể đ−ợc lấy từ một trong các vị trí và theo thứ tự −u tiên nh− sau:
- File tuỳ chọn ngầm định '/etc/transcrypt/options'
- Từ một file tuỳ chọn đ−ợc chỉ ra bởi tham số '-o file' trên dòng lệnh. - Các tuỳ chọn đơn đ−ợc đ−a vào từ dịng lệnh.
Điều này có nghĩa là các tham số từ dòng lệnh đ−ợc dùng thay cho các tham số từ các file, và các tham số từ một file tuỳ chọn đ−ợc chỉ ra sẽ đ−ợc dùng thay cho các tham số từ file tùy chọn ngầm định.
Các tuỳ chọn trên có kiểu là một trong các kiểu sau: boolean, integer, string, địa chỉ IP, địa chỉ IP với số cổng. Các tuỳ chọn ngầm định là false và việc chỉ ra chúng nghĩa là đặt chúng thành true. Địa chỉ IP đ−ợc chỉ ra d−ới dạng dấu chấm hoặc tên miền mà có thể phân giải đ−ợc bằng hàm 'gethostbyname'. Các địa chỉ UDP hoặc TCP đ−ợc đ−a ra theo dạng 'ip:port', mà port là một số hoặc tên phân giải đ−ợc bằng 'getservbyname'.
Cú pháp của các tuỳ chọn đặc biệt này là 'name=value' trên dòng lệnh, và 'name value' (mỗi tuỳ chọn trên một dịng, khơng liền nhau, khơng có ký tự điều khiển, dấu nháy..) trong file tùy chọn.
Vì lý do bảo mật, các file tuỳ chọn phải đ−ợc đ−a ra theo đ−ờng dẫn dẫn tuyệt đối, và chỉ đ−ợc sở hữu bởi ng−ời dùng root, bất kỳ nhóm hoặc ng−ời dùng khác khơng có quyền viết, thậm trí là đọc file này (bởi các khố bí mật đều đ−ợc ghi trong file này).
2.2 Danh sách tất cả các tham số
(Req=Yêu cầu tham số - Required parameter)
Tên Kiểu Req
device String Không Tên thiết bị TRANSCRYPT. Nếu không
đ−a ra, hệ thống sẽ lấy một thiết bị còn trống.
debug Bool Khơng chạy ở tiến trình nền, dùng thiết bị lỗi chuẩn stderr thay cho syslog. (độc lập với tuỳ chọn debug của driver nhân)
ipaddr IP Có Địa chỉ IP của card mạng nối với mạng con
cần bảo vệ của máy hiện tại.
ptpaddr IP Có Địa chỉ IP của thiết bị của card mạng nối
với mạng con cần bảo vệ của máy bên kia.
cttl UDP Không Giá trị truyền thông TTL. Nếu không xác
định hoặc bằng 0, ch−ơng trình sẽ sử dụng TTL của gói payload. Giá trị ngầm định đ−ợc thiết lập là 64.
me UDP Không Địa chỉ truyền thông UDP của máy hiện tại,
tiếp theo là số cổng đ−ợc sử dụng để truyền thông đ−ợc viết sau dấu ‘:’. Nếu hoặc IP hoặc cổng không đ−ợc chỉ ra, hệ thống sẽ chọn một địa chỉ bất kỳ.
peer UDP Có Địa chỉ truyền thơng UDP và số cổng của
phía bên kia. Viết cách nhau dấu ‘:’.
key String Có Khố liên kết. Vì lý do bảo mật, khoá liên
kết phải đ−ợc đặt trong file tuỳ chọn. Khoá là 512 bits và đ−ợc viết d−ới dạng hệ cơ số 16.
nokey Bool Khơng mã hố gì cả, chỉ bao bọc gói tin
trong giao thức UDP. Với tùy chọn này, ta không cần đến tùy chọn 'key' (không cần thiết).
tockxc Int Không Thời gian chờ để trao đổi khố (tính theo
giây). Ngầm định là 10.
tokey Int Không Thời gian sống của khoá động. Ngầm định
là 600 (10 phút).
ipup String Không Kịch bản để chạy thay cho file
/etc/transcrypt/ip-up.
ipdown String Không Kịch bản để chạy thay cho file
/etc/transcrypt/ip-down.
arg String Không Tham số để cung cấp cho 'ip-up' và 'ip-
down'.
maxerr Int Không Số lỗi lớn nhất cho phép tr−ớc khi daemon
transcryptd thoát.
tokxts Int Không Thời gian chờ trao đổi nhãn thời gian. Ngầm
định là 0 (không sử dụng nhãn thời gian). Có thể thiết lập giá trị cho tuỳ chọn này là 30 để bảo vệ chống lại kiểu tấn cơng bằng việc truyền lại trao đổi khố. Tuy nhiên với tuỳ chọn này, đồng hồ của cả 2 đầu phải
đ−ợc đồng bộ.
toping Int Không Thời gian chờ để ping. Nếu khơng nhận
đ−ợc tín hiệu trả lời trong thời gian ping, nó coi đó là một lỗi.
ifconfig Bool u cầu lệnh ngồi ‘ifconfig’ để cấu hình
giao diện.
2.3 Lỗi điều khiển trong ‘transcryptd’
Khi ‘transcrypd’ ở máy từ xa bị đóng lại hoặc khơng khả dụng nữa, ‘transcrypd’ của máy cục bộ sẽ nhận đ−ợc lỗi “connection refused”. Điều này đã đ−ợc chứng minh trong thực tế ở một số tình huống, vì vậy có ch−ơng trình đ−ợc thêm vào một tuỳ chọn mở rộng khác: ‘maxerr’ quyết định ‘transcryptd’ sẽ bỏ qua bao nhiêu lỗi tr−ớc khi nó thốt. Bộ đếm này sẽ đ−ợc đặt lại mỗi khi kết nối chạy ổn định (chính xác hơn: khi nhận đ−ợc một gói trao đổi khố). Giá trị ngầm định cho ‘maxerr’ là 8. Một giá trị đặc biệt -1 báo cho ‘transcrypd’ bỏ qua bất kỳ một lỗi về mạng nào. Trong tr−ờng hợp này, nó chỉ có thể đ−ợc đóng lại bằng tay.