A fenti konfigurációval megvalósított csatornába nem látnak bele ugyan a kívülállók, de a "jobb" és "bal" hálózatokon belül már újra titkosítatlanul haladnak a csomagok. Nézzünk egy példát: tegyük fel, hogy Ádám a 172.20.24.10-es gépről egy olyan e-mail-t szeretne küldeni Bélának, a 172.20.3.16-os gép tulajdonosának, ami a szervezeten belül senki másra nem tartozik, csak Bélára 6.1, de eközben az egyik munkatárs Gonosz Géza lehallgat minden Béla felé irányuló forgalmat (sniffing). Géza kiadja a következő parancsot:
tcpdump -vvvX -s 1500 src 172.20.3.16 or dst 172.20.3.16
amivel részletes információt kap minden Bélának szóló csomagról. Az adatok elemzése során Géza a következőre lesz figyelmes:
12:44:10.785466 172.20.24.10.35645 > 172.20.3.16.smtp: P [tcp sum ok]
109:343(234) ack 270 win 5840 <nop,nop,timestamp 9546552 75308123> (DF)
[tos 0x10] (ttl 64, id 39612, len 286)
0x0000 4510 011e 9abc 4000 4006 2bcb ac14 180a E.....@.@.+.....
0x0010 ac14 0310 8b3d 0019 b0a8 3b1c b217 7396 .....=....;...s.
0x0020 8018 16d0 7bf1 0000 0101 080a 0091 ab38 ....{..........8
0x0030 047d 1c5b 546f 3a20 2250 6172 616e 6f69 .}.[To:."Paranoi
0x0040 6173 2042 656c 6122 203c 6265 6c61 406e as.Bela".<bela@n
0x0050 6d69 2e6b 6f6c 693e 0d0a 5375 626a 6563 mi.koli>..Subjec
0x0060 743a 2041 7475 7461 6c61 730d 0a49 6d70 t:.Atutalas..Imp
0x0070 6f72 7461 6e63 653a 2048 6967 680d 0a0d ortance:.High...
0x0080 0a53 7a69 6120 4265 6c61 2c0d 0a0d 0a6c .Szia.Bela,....l
0x0090 6567 7920 6f6c 7920 6b65 6476 6573 2061 egy.oly.kedves.a
0x00a0 7475 7461 6c6e 6920 3130 2030 3030 2030 tutalni.10.000.0
0x00b0 3030 2046 742d 6f74 2061 2031 3737 3330 00.Ft-ot.a.17730
0x00c0 3430 3132 3330 3736 3131 2d65 7320 4f54 4012307611-es.OT
0x00d0 5020 737a 616d 6c61 7261 2c0d 0a68 6f67 P.szamlara,..hog
0x00e0 7920 6265 2074 7564 6a75 6b20 6665 6a65 y.be.tudjuk.feje
0x00f0 7a6e 6920 617a 2075 6779 6c65 7465 7420 zni.az.ugyletet.
0x0100 6120 4b6f 7272 7570 7420 4b66 742d 7665 a.Korrupt.Kft-ve
0x0110 6c2e 0d0a 0d0a 4164 616d 0d0a 0d0a l.....Adam....
Géza így máris olyan információhoz jutott, amihez nem szerettük volna ha hozzájut. Tehát két gép között kiemelt biztonsági szintet kell biztosítanunk, meg kell oldanunk végponttól végpontig terjedő titkosítást és hitelesítést.
Ennek megfelelően ezeken a gépeken is telepítenünk kell az IPSec-et, majd az /etc/ipsec.conf konfigurációs állományt a következőhöz hasonlóan kell kitöltenünk:
config setup interfaces="ipsec0=eth0:0" klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 esp=3des-md5-96 auth=ah authby=rsasig include /etc/ipsec.rsasigkeys conn sample type=transport left=172.20.3.16 leftnexthop=172.20.1.1 right=172.20.24.10 rightnexthop=172.20.24.1 auto=start
Ebben az esetben nyugodtan alkalmazhatunk transport módot, mivel host-host kapcsolatról van szó, és a tunnel mód alkalmazása esetén előálló új fejléc majdhogynem az elrejtendő fejléc lenne.
Ezek után Géza már csak ennyit lát a levélből:
12:50:59.461421 172.20.24.10 > 172.20.3.16:
AH(spi=0x1ad5b04a,sumlen=16,seq=0x25): ESP(spi=0x1ad5b04b,seq=0x25)
(ttl 62, id 40217, len 1468)
0x0000 4500 05bc 9d19 0000 3e33 66b3 ac14 0310 E.......>3f.....
0x0010 ac14 180a 3204 0000 1ad5 b04a 0000 0025 ....2......J...%
0x0020 0e81 c8ad 72d2 264e 560a 0e98 1ad5 b04b ....r.&NV......K
0x0030 0000 0025 3714 179d a2d8 3d67 48d9 fa49 ...%7.....=gH..I
0x0040 1600 4234 5368 8381 fca6 4759 2f54 40db ..B4Sh....GY/T@.
0x0050 00e8 02e7 48e6 8d16 911f 8942 15a1 a012 ....H......B....
[0x0060..0x0550]
0x0560 d87f a6a7 ef76 15a6 b0f3 c959 1b68 e87e .....v.....Y.h.~
0x0570 da39 65a6 2d68 6e4c 96e0 ee5e 157b a0b2 .9e.-hnL...^.{..
0x0580 f68c b174 520e 7c82 3341 9eb6 f50b dbe6 ...tR.|.3A......
0x0590 7b8c 9173 868c 1906 c93b afd3 bb3b c259 {..s.....;...;.Y
0x05a0 f4a3 cd60 2b18 85c8 2b49 2b33 38fd 13a1 ...`+...+I+38...
0x05b0 34f5 f7da cddf b2a0 d4ba 2100 4.........!.