تیم آبی

برگه رمز هایی برای شکاران تهدید

سرآغاز آماده سازی شناسایی دامنه محافظت در دفاع قابلیت مشاهده تحلیل پاسخ ها پس از حمله روش ها نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

محافظت(دفاع)

ویندوز

غیر فعال سازی و یا توقف سرویس ها

لیست سرویس های متوقف و یا غیر فعال شده:

C:\> sc query
C:\> sc config "<SERVICE NAME>" start= disabled
C:\> sc stop "<SERVICE NAME>"
C:\> wmic service where name='<SERVICE NAME>' call
ChangeStartmode Disabled

فایروال میزبان

نمایش تمام rule ها:

C:\> netsh advfirewall firewall show rule name=all

روشن و یا خاموش نمودن فایروال :

C:\> netsh advfirewall set currentprofile state on
C:\> netsh advfirewall set currentprofile
firewallpolicy blockinboundalways,allowoutbound
C:\> netsh advfirewall set publicprofile state on
C:\> netsh advfirewall set privateprofile state on
C:\> netsh advfirewall set domainprofile state on
C:\> netsh advfirewall set allprofile state on
C:\> netsh advfirewall set allprof ile state off

تنظیم rule جدید برای فایروال:

C:\> netsh advfirewall firewall add rule name="Open
Port 80" dir=in action=allow protocol=TCP
localport=80

C:\> netsh advfirewall firewall add rule name="My
Application" dir=in action=al low
program="C:\MyApp\MyApp.exe" enable=yes

C:\> netsh advfirewall firewall add rule name="My
Application" dir=in action=al low
program="C:\MyApp\MyApp.exe" enable=yes
remoteip=157.60.0.1,172.16.0.0/16,Local5ubnet
prof i le=doma in

C:\> netsh advfirewall firewall add rule name="My
Application" dir=in action=allow
program="C:\MyApp\MyApp.exe" enable=yes
remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet
profile=domain

C:\> netsh advfirewall firewall add rule name="My
Application" dir=in action=al low
program="C:\MyApp\MyApp.exe" enable=yes
remoteip=157.60.0.1,172.16.0.0/16,Local5ubnet
profile=private

C:\> netsh advfirewall firewall delete rule
name=rule name program="C:\MyApp\MyApp.exe"

C:\> netsh advfirewall firewall delete rule
name=rule name protocol=udp localport=500

C:\> netsh advfirewall firewall set rule
group=" remote desktop" new enable=Yes prof ile=domain

C:\> netsh advfirewall firewall set rule
group="remote desktop" new enable=No profile=public

تنظیم موقعیت مکانی گزارشات:

C:\> netsh advfirewall set currentprofile logging
C:\<LOCATION>\<FILE NAME>

تنظیم و تغییر موقعیت گزارشات فایروال:

C:\>
more %systemroot%\system32\LogFiles\Firewall\pfirewa
ll.log

C:\> netsh advfirewall set allprofile logging
maxfilesize 4096

C:\> netsh advfirewall set allprofile logging
droppedconnections enable

C:\> netsh advfirewall set allprofile logging
allowedconnections enable

نمایش گزارشات فایروال:

PS C:\> Get-Content
$env:systemroot\system32\LogFiles\Firewall\pfirewall
. log

کلمه عبور ها

تغییر کلمه عبور:

C:\> net user <USER NAME> * /domain
C:\> net user <USER NAME> <NEW PASSWORD>

تغییر کلمه عبور از راه دور:

منبع. https://technet.microsoft.com/en­ us/sysinternals/bb897543

C:\> pspasswd.exe \\<IP ADDRESS or NAME OF REMOTE
COMPUTER> -u <REMOTE USER NAME> -p <NEW PASSWORD>

تغییر کلمه عبور از راه دور:

PS C:\> pspasswd.exe \\<IP ADDRESS or NAME OF REMOTE
COMPUTER>

فایل های میزبان

تنظیم دوباره DNS:

C:\> ipconfig /flushdns

تنظیم دوباره حافظه نهان NetBios:

C:\> nbtstat -R

اضافه نمودن دامنه مخرب و هدایت آن به localhost:

C:\> echo 127.0.0.1 <MALICIOUS DOMAIN> >>
C:\Windows\System32\drivers\etc\hosts

بررسی فایل های میزبان با ارسال ping 127.0.0.1:

C:\> ping <MALICIOUS DOMAIN> -n 1

لیست سفید

ایجاد و استفاده از فایل Proxy Auto Config(PAC) برای url و ip های مشکوک:

function FindProxyForURL(url, host) {
II Send bad DNS name to the proxy
if (dnsDomainis(host, ".badsite.com"))
return "PROXY http:11127.0.0.1:8080";
II Send bad IPs to the proxy
if (isinNet(myipAddress(), "222.222.222.222",
"255.255.255.0"))
return "PROXY http:11127.0.0.1:8080";
II All other traffic bypass proxy
return "DIRECT";
}

محدودیت های برنامه ای

استفاده از Applocker - برای Server 2008 R2 یا Windows 7 یا بالا تر:

مراحل کار با Applocker (نیازمند GUI):

Step 1: Create a new GPO.

Step 2: Right-click on it to edit, and then navigate through Computer Configuration, Policies, Windows Settings, Security Settings, Application Control Policies and Applocker. Click Configure Rule Enforcement.

Step 3: Under Executable Rules, check the Configured box and then make sure Enforce Rules is selected from the drop-down box. Click OK.

Step 4: In the left pane, click Executable Rules.

Step 5: Right-click in the right pane and select Create New Rule.

Step 6: On the Before You Begin screen, click Next.

Step 7: On the Permissions screen, click Next.

Step 8: On the Conditions screen, select the Publisher condition and click Next.

Step 9: Click the Browse button and browse to any executable file on your system. It doesn’t matter which.

Step 10: Drag the slider up to Any Publisher and then click Next.

Step 11: Click Next on the Exceptions screen.

Step 12: Name policy, Example uonly run executables that are signed” and click Create.

Step 13: If this is your first time creating an Applocker policy, Windows will prompt you to create default rule, click Yes.

Step 14: Ensure Application Identity Service is Running.

C:\> net start AppIDSvc
C:\> REG add
"HKLM\SYSTEM\CurrentControlSet\services\AppIDSvc" /v
Start /t REG_DWORD /d 2 /f

Step 15: Changes require reboot.

C:\ shutdown.exe /r
C:\ shutdown.exe /r /m \\<IP ADDRESS OR COMPUTER
NAME> /f

استفاده از ماژول Applocker در PowerShell:

PS C:\> import-module Applocker

اطلاعات درباره پرونده و فایل های اجرایی و غیر اجرای در مسیر C:\Windows\System32 را نمایش می دهد:

PS C:\> Get-ApplockerFileinformation -Directory
C:\Windows\System32\ -Recurse -FileType Exe, Script

ایجاد policy در Applocker برای کلیه فایل های اجرایی در مسیر C:\Windows\System32:

PS C:\> Get-ApplockerFileinformation -Directory
C:\Windows\System32\ -Recurse -FileType Exe, Script

ایجاد policy در Applocker برای اجازه به کلیه فایل های اجرایی در مسیر C:\Windows\System32:

PS C:\> Get-Childitem C:\Windows\System32\*,exe I
Get-ApplockerFileinformation I New-ApplockerPolicy -
RuleType Publisher, Hash -User Everyone -
RuleNamePrefix System32

تغییر policy های موجود با استفاده از فایل C:\Policy.xml:

PS C:\> Set-AppLockerPolicy -XMLPolicy C:\Policy.xml

استفاده از policy های Applocker برای اجازه به اجرای notepad و calc برای کاربرانی که عضو گروه everyone هستند:

PS C:\> Test-AppLockerPolicy -XMLPolicy
C:\Policy.xml -Path C:\Windows\System32\calc.exe,
C:\Windows\System32\notepad.exe -User Everyone

ایجاد محدودیت برای تعداد اجرا:

PS C:\> Get-ApplockerFileinformation -Eventlog -
Logname "Microsoft-Windows-Applocker\EXE and DLL" -
EventType Audited -Statistics

ایجاد یک policy برای Applocker از event های audited شده برای فایل های exe و dll:

PS C:\> Get-ApplockerFileinformation -Eventlog -
LogPath "Microsoft-Windows-AppLocker/EXE and DLL" -
EventType Audited I New-ApplockerPolicy -RuleType
Publisher,Hash -User domain\<GROUP> -
IgnoreMissingFileinformation I Set-ApplockerPolicy -
LDAP "LDAP://<DC>,<DOMAIN>.com/CN={31B2F340-016D-
11D2-945F-
00C04FB984F9},CN=Policies,CN=System,DC=<DOMAIN>,DC=com"

استخراج کلیه policy های Applocker:

PS C:\> Get-AppLockerPolicy -Local I Test­
AppLockerPolicy -Path C:\Windows\System32\*,exe -
User domain\<USER NAME> -Filter Denied I Format-List
-Property Path > C:\DeniedFiles.txt

بررسی و تست فایل استخراج شده policy های Applocker:

PS C:\> Get-Childitem <DirectoryPathtoReview> -
Filter <FileExtensionFilter> -Recurse I Convert-Path
I Test-ApplockerPolicy -XMLPolicy
<PathToExportedPolicyFile> -User <domain\username> -
Filter <TypeofRuletoFilterFor> I Export-CSV
<PathToExportResultsTo.CSV>

نمایش لیست GridView برای کلیه rule ها:

PS C:\> Get-AppLockerPolicy -Local -Xml I Out­-GridView

دستور IPSEC

ایجاد یک Local Security Policy برای Applocker برای هر گونه اتصال و پروتکلی و با استفاده از preshared key:

C:\> netsh ipsec static add filter
filterlist=MyIPsecFilter srcaddr=Any dstaddr=Any
protocol=ANY
C:\> netsh ipsec static add filteraction
name=MyIPsecAction action=negotiate
C:\> netsh ipsec static add policy
name=MyIPsecPolicy assign=yes
C:\> netsh ipsec static add rule name=MyIPsecRule
policy=MyIPsecPolicy filterlist=MyIPsecFilter
filteraction=MyIPsecAction conntype=all activate=yes
psk=<PASSWORD>

اضافه نمودن rule مربوط به اجازه به پورت 80 و 443 در ipsec:

C:\> netsh ipsec static add filteraction name=Allow
action=permit
C:\> netsh ipsec static add filter
filterlist=WebFilter srcaddr=Any dstaddr=Any
protocol=TCP dstport=80
C:\> netsh ipsec static add filter
filterlist=WebFilter srcaddr=Any dstaddr=Any
protocol=TCP dstport=443
C:\> netsh ipsec static add rule name=WebAllow
policy=MyIPsecPolicy filterlist=WebFilter
filteraction=Allow conntype=all activate=yes
psk=<PASSWORD>

نمایش کلیه Local Security Policy در ipsec که اسم آن “MyIPsecPolicy”:

C:\> netsh ipsec static show policy
name=MyIPsecPolicy

توقف و یا عدم استفاده از policy ها در IPSEC:

C:\> netsh ipsec static set policy
name=MyIPsecPolicy

ایجاد یک policy و rule و preshared key جدید برای هر گونه اتصالی:

C:\> netsh advfirewall consec add rule name= u IPSEC"
endpointl=any endpoint2=any
action=requireinrequireout qmsecmethods=default

نیازمند preshared key برای کلیه درخواست های outgoing در ipsec:

C:\> netsh advfirewall firewall add rule
name= u IPSEC_Out" dir=out action=allow enable=yes
profile=any localip=any remoteip=any protocol=any
interfacetype=any security=authenticate

ایجاد یک rule برای web browsing:

C:\> netsh advfirewall firewall add rule name="Allow
Outbound Port 80 11 dir=out localport=80 protocol=TCP
action=allow

ایجاد یک rule برای DNS:

C:\> netsh advfirewall firewall add rule name="Allow
Outbound Port 53 11 dir=out localport=53 protocol=UDP
action=allow

حذف Rule در IPSEC:

C:\> netsh advfirewall firewall delete rule
name="IPSEC_RULE"

ACTIVE DIRECTORY (AD) و GROUP POLICY OBJECT (GPO)

دریافت و اعمال policie های جدید:

C:\> gpupdate /force
C:\> gpupdate /sync

Audit موفق و ناموفق برای کاربر Bob:

C:> auditpol /set /user:bob /category:"Detailed
Tracking" /include /success:enable /failure:enable

ایجاد یک Organization Unit برای انتقال کاربران و رایانه های مشکوک:

C:\> dsadd OU <QUARANTINE BAD OU>

انتقال کاربران active directory به گروه جدید NEW GROUP:

PS C:\> Move-ADObject 'CN=<USER NAME>,CN=<OLD USER
GROUP>,DC=<OLD DOMAIN>,DC=<OLD EXTENSION>' -
TargetPath 'OU=<NEW USER GROUP>,DC=<OLD
DOMAIN>,DC=<OLD EXTENSION>'

روش مشابه:

C:\> dsmove "CN=<USER NAME>,OU=<OLD USER OU>,DC=<OLD
DOMAIN>,DC=<OLD EXTENSION>" -newparent OU=<NEW USER
GROUP>,DC=<OLD DOMAIN>,DC=<OLD EXTENSION>

سیستم بدون ACTIVE DIRECTORY (AD)

عدم اجازه به فایل .exe:

C:\> reg add
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\Explorer" /v DisallowRun /t REG_DWORD /d
"00000001" /f
C:\> reg add
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\Explorer\DisallowRun" /v badfile.exe /t REG_SZ
/d <BAD FILE NAME>.exe /f

غیرفعال سازی Remote Desktop:

C:\> reg add
"HKLM\SYSTEM\Cu rrentCont ro lSet\Cont ro l \ Terminal
Server" /f /v fDenyTSConnections /t REG_DWORD /d 1

ارسال پاسخ NTLMv2 فقط برای LM و NTLM: (به صورت پیش فرض در ویندوز 7)

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v
lmcompatibilitylevel /t REG_DWORD /d 5 /f

محدود نموده دسترسی ناشناس:

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v
restrictanonymous /t REG_DWORD /d 1 /f

عدم اجازه دسترسی ناشناسان به SAM accounts و shares:

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v
restrictanonymoussam /t REG_DWORD /d 1 /f

غیر فعال سازی IPV6:

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\services\TCPIP6\Parame
ters /v DisabledComponents /t REG_DWORD /d 255 /f

غیر فعال سازی کلید ها sticky:

C:\> reg add "HKCU\Control
Panel\Accessibility\StickyKeys" /v Flags /t REG_SZ
/d 506 /f

غیر فعال سازی تغییر کلید ها:

C:\> reg add "HKCU\Control
Panel \Accessibility\ ToggleKeys" /v Flags /t REG_SZ
Id 58 /f

غیر فعال سازی کلید های فیتلر:

C:\> reg add "HKCU\Control
Panel\Accessibility\Keyboard Response" /v Flags /t
REG_SZ /d 122 /f

غیرفعال سازی On-screen Keyboard:

C:\> reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI 
/f /v ShowTabletKeyboard /t REG_DWORD /d 0

غیرفعال سازی Administrative Shares - Workstations:

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parameters /f /v AutoShareWks /t REG_DWORD /d 0

غیرفعال سازی Administrative Shares - Severs

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parameters /f /v AutoShareServer /t REG_DWORD /d 0

حذف هش های مربوط به حمله Pass the Hash (نیازمند راه اندازی مجدد و تغییر کلمه عبور برای هش های قدیمی):

C:\> reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v
NoLMHash /t REG_DWORD /d 1

غیرفعال سازی ویرایش رجیستری: (High Risk)

C:\> reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\System /v DisableRegistryTools /t REG_DWORD /d 1
/f

غیر فعال سازی IE Password Cache:

C:\> reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Inter
net Settings /v DisablePasswordCaching /t REG_DWORD
/d 1 /f

غیر فعال سازی CMD prompt:

C:\> reg add
HKCU\Software\Policies\Microsoft\Windows\System /v
DisableCMD /t REG_DWORD /d 1 /f

غیر فعال سازی حافظه نهان احراز هویت Admin در میزبان با استفاده از rdp:

C:\> reg add
HKLM\System\CurrentControlSet\Control\Lsa /v
DisableRestrictedAdmin /t REG_DWORD /d 0 /f

عدم پردازش فایل هایی که فقط یکبار اجرا شده اند:

C:\> reg add
HKLM\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer /v DisableLocalMachineRunOnce /t
REG_DWORD /d 1

C:\> reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic
ies\Explorer /v DisableLocalMachineRunOnce /t
REG_DWORD /d 1

نیاز مند دسترسی User Access Control (UAC):

C:\> reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polic
ies\System /v EnableLUA /t REG_DWORD /d 1 /f

نیاز مند دسترسی User Access Control (UAC):

C:\> reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Polic
ies\System /v EnableLUA /t REG_DWORD /d 1 /f

تغییر کلمه عبور بعد از ورود مجدد:

PS C:\> Set-ADAccountPassword <USER> -NewPassword
$newpwd -Reset -PassThru I Set-ADuser -
ChangePasswordAtLogon $True

کلمه عبور را در ورود بعدی برای گروه OU تغییر کند:

PS C:\> Get-ADuser -filter "department -eq '<OU GROUP>' -AND enabled -eq 'True'" | Set-ADuser - ChangePasswordAtLoggon $True

فعال سازی گزارش گیری در فایروال:

C:\> netsh firewall set logging droppedpackets
connections = enable

لینوکس

غیر فعال و یا توقف سرویس ها

اطلاعات سرویس ها:

# service --status-all
# ps -ef
# ps -aux

نمایش لیست سرویس های راه انداز:

# initctl list

نمونه ای از شروع و توقف سرویس ها در ubuntu

در Ubuntu:

# /etc/init,d/apache2 start
# /etc/init.d/apache2 restart
# /etc/init.d/apache2 stop (stops only until reboot)
# service mysql start
# service mysql restart
# service mysql stop (stops only until reboot)

لیست کلیه سرویس های راه انداز:

# ls /etc/init/*,conf

بررسی وضیعت سرویس راه انداز:

# status ssh

بررسی وضیعت سرویس در صورتی که عضو راه انداز نباشد:

# update-rc.d apache2 disable
# service apache2 stop

فایروال میزبان

ذخیره سازی کلیه rule های موجود iptables:

# iptables-save > firewall.out

ویرایش فایل حاوی rule ها:

# vi firewall.out

بارگذاری مجدد rule های iptables:

# iptables-restore < firewall.out

دستورات نمونه iptables شامل محدود نمودن ip و port ها:

# iptables -A INPUT -s 10.10.10.10 -j DROP
# iptables -A INPUT -s 10,10.10.0/24 -j DROP
# iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
# iptables -A INPUT -p tcp --dport ssh -j DROP

مسدود نمودن تمامی ارتباطات:

# iptables-policy INPUT DROP
# iptables-policy OUTPUT DROP
# iptables-policy FORWARD DROP

گزارش گیری تمام rule های denied در iptables:

# iptables -I INPUT 5 -m limit --limit 5/min -j LOG
--log-prefix "iptables denied: " --log-level 7

ذخیره سازی تمام rule های iptables:

در Ubuntu:

# /etc/init.d/iptables save
# /sbin/service iptables save

در RedHat یا CentOS:

# /etc/init.d/iptables save
# /sbin/iptables-save

لیست تمام rule های iptables:

# iptables -L

راه اندازی مجدد rule های iptables:

# iptables -F

شروع و متوقف نمودن گزارش گیری سرویس iptables:

# service iptables start
# service iptables stop

شروع و متوقف نمودن گزارش گیری سرویس ufw:

# ufw enable
# ufw disable

شروع و متوقف نمودن گزارش گیری ufw:

# ufw logging on
# ufw logging off

تهیه نسخه پشتیبان از rule های ufw:

# cp /lib/ufw/{user.rules,user6.rules} /<BACKUP
LOCATION>
# cp /lib/ufw/{user.rules,user6.rules} ./

نمونه ای از دستورات فایروال(ufw) برای محدود نموده ip و port ها:

# ufw status verbose
# ufw delete <RULE#>
# ufw allow for <IP ADDRESS>
# ufw allow all 80/tcp
# ufw allow all ssh
# ufw deny from <BAD IP ADDRESS> proto udp to any
port 443

کلمه عبور ها

تغییر کلمه عبور:

$ passwd (For current user)
$ passwd bob (For user Bob)
$ sudo su passwd (For root)

فایل های میزبان

اضافه نمودن دامنه مخرب و هدایت آن به localhost:

# echo 127.0.0,1 <MALICIOUS DOMAIN> >> /etc/hosts

بررسی فایل های هاست با ارسال ping 127.0.0.1:

# ping -c 1 <MALICIOUS DOMAIN>

راه اندازی مجدد DNS cache در ubuntu:

# /etc/init.d/dns-clean start

4 راه برای راه اندازی مجدد DNS cache :

# /etc/init.d/nscd restart
# service nscd restart
# service nscd reload
# nscd -i hosts

راه اندازی مجدد DNS cache:

# /etc/init.d/dnsmasq restart

لیست سفید

ایجاد و استفاده از فایل Proxy Auto Config(PAC) برای url و ip های مشکوک:

function FindProxyForURL(url, host) {
II Send bad DNS name to the proxy
if (dnsDomainis(host, ",badsite.com"))
return "PROXY http:11127.0.0.1:8080";
II Send bad IPs to the proxy
if (isinNet(myipAddress(), "222.222.222.222",
"255.255.255.0"))
return "PROXY http:11127.0.0.1:8080";
II All other traffic bypass proxy
return "DIRECT";
}

دستور IPSEC

اجازه به فایروال برای ترافیک IPSEC:

# iptables -A INPUT -p esp -j ACCEPT
# iptables -A INPUT -p ah -j ACCEPT
# iptables -A INPUT -p udp --dport 500 -j ACCEPT
# iptables -A INPUT -p udp --dport 4500 -j ACCEPT

Pass IPSEC traffic:

مرحله 1: نصب Racoon utility در <IP ADDRESS میزبان 1>

و <IP ADDRESS میزبان 2> برای فعال سازی تونل IPSEC در

Ubuntu.

# apt-get install racoon

مرحله 2: ویرایش /etc/ipsec­ tools.conf در <IP ADDRESS میزبان 1> and <IP ADDRESS میزبان 2> .

flush;
spdflush;
spdadd <HOST1 IP ADDRESS> <HOST2 IP ADDRESS> any -P
out ipsec
esp/transport//require;
spdadd <HOST2 IP ADDRESS> <HOST1 IP ADDRESS> any -P
in ipsec
esp/transport//require;

مرحله 3: ویرایش /etc/racoon/racoon.conf در <IP ADDRESS میزبان 1> و <IP ADDRESS میزبان 2>.

log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
remote anonymous {
exchange_mode main,aggressive;
proposal {
encryption_algorithm aes_256;
hash_algorithm sha256;
authentication_method
pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}
sainfo anonymous{
pfs_group 2;
encryption_algorithm aes_256;
authentication_algorithm hmac_sha256;
compression_algorithm deflate;
}

مرحله 4: اضافه نمودن preshared key به دو میزبان.

در میزبان 1:

# echo <HOST2 IP ADDRESS> <PRESHARED PASSWORD>
>>/etc/racoon/psk.txt

در میزبان 2:

# echo <HOSTl IP ADDRESS> <PRESHARED PASSWORD>
>>/etc/racoon/psk.txt

مرحله 5: راه اندازی مجدد دو سیستم.

# service setkey restart

برنامه پیکربندی و قوانین :

# setkey -D
# setkey -DP