Zebedeeで暗号化トンネル(鍵提出義務あり)

クライアントに鍵の提出を義務づけ、鍵を持っている人だけ使えるような接続制限・
認証・暗号化トンネルを作ります。
2004.6.23

【条件】
server: FreeBSD 4.10-RELEASE zebedeeはインストール済み
http://w3.itoh.net/zebedee.html
192.168.0.1
8080/tcpでapacheが動いている。
11965/tcpでzebedeeの受付ができるようにパケットフィルタ設定をしておく。

client: WindowsXPpro zebedeeはインストール済み
localhostの8888/tcpに接続すると 192.168.0.1:8080に暗号化接続をする。


【クライアント鍵の生成】
WinXPのコンソールで

C:\Program Files\Zebedee>zebedee -p > private.key
C:\Program Files\Zebedee>zebedee -P -f private.key > public.key

このpublic.keyの内容をzebedeeサーバの公開鍵ファイルに追加することになる。

【クライアント設定ファイル】

#zebedee-client.zbd
verbosity 2
server false
detached true
udpmode false
logfile 'client.log'
include 'private.key'
serverhost 192.168.0.1
keygenlevel 2
compression zlib:9
keylength 256
keylifetime 36000
maxbufsize 16383
tunnel 8888:192.168.0.1:8080

【クライアント起動スクリプト】

zebedee-client.bat

cd "c:\program files\zebedee"
start zebedee -f zebedee-client.zbd

これを作ってスタートアップに入れておけば、起動時に実行される。

【サーバ側設定ファイル】

# zebedee-server.zbd
verbosity 2
server true
#detached true
udpmode false
logfile '/var/log/zebedee-server.log'
checkidfile '/usr/local/etc/zebedee-public.key'
keygenlevel 2
minkeylength 256
compression zlib:9
keylength 256
keylifetime 36000
maxbufsize 16383
redirect 8080
target 192.168.0.1:8080

【クライアント公開鍵のサーバへの登録】

/usr/local/etc/zebedee-public.key
にさっきクライアントで作った鍵を追加する。


【zebedeeサーバ起動・停止スクリプト】

/usr/local/etc/rc.d/zebedee-server.sh

#!/bin/sh
#
PATH=/usr/bin:/usr/local/bin:/bin

[ -f /usr/bin/zebedee ] || exit 0

case "$1" in
    start)
        # Start daemons.
        echo "Starting Zebedee-Server. "

        /usr/bin/zebedee -tsd -f /usr/local/etc/zebedee-server.zbd &

        ;;

    stop)
        # Stop daemons.
        echo "Shutting down Zebedee-server."
        PID=`/bin/ps -aux | grep zebedee | awk '{print $2}'`
        if [ ! -z "$PID" ] ;  then
            /bin/kill ${PID} 1> /dev/null 2>&1
        fi
        ;;
    *)
        echo "Usage: zebedee.sh {start|stop}"
        exit 1
esac

exit 0

【動作テスト】

WindowsXPマシンでブラウザを動かし
http://localhost:8888/
すると
192.168.0.1:8080へ接続したことになる。
クライアントからの鍵の提出を義務づけ、サーバに鍵が登録されていない&
秘密鍵が無いクライアントの接続は拒否され、通信自体の暗号化もされる。
外部からの8080/tcpへの接続をパケットフィルタ設定しておけばzebedee経由接続のみ
許可となり非常に安全。

zebedeeサーバの /var/log/zebedee-server.log に接続の様子が記録されている。

zebedee(145/21536): 2004-06-23-11:14:58:  waiting for connection on port 11965
zebedee(145/21536): 2004-06-23-11:15:33:  accepted connection from 192.168.0.2
zebedee(145/21536): 2004-06-23-11:15:33:  waiting for connection on port 11965
zebedee(145/23584): 2004-06-23-11:15:33:  key identity matched: 37d24hb3bghbce93f2a36fb14ad2fgfc67b72342 winxp-1
zebedee(145/23584): 2004-06-23-11:15:33:  tunnel established to target 192.168.0.1, port 8080
zebedee(145/23584): 2004-06-23-11:15:33:   compression level 0x9, key length 256
zebedee(145/23584): 2004-06-23-11:15:50:   read 338 bytes (459 expanded) in 4 messages
zebedee(145/23584): 2004-06-23-11:15:50:   wrote 427 bytes (584 expanded) in 6 messages
zebedee(145/23584): 2004-06-23-11:15:50:  connection closed



高村のホームに戻る