Linux网络管理及应用-第10章.ppt

Linux网络管理及应用 第10章VPN服务器的配置与应用 目标 了解网络安全相关的概念了解TCPWrappers的概念掌握配置tcpd服务进行主机登录的限制了解SSH基本概念与起源掌握OpenSSH的安装配置及应用了解VPN的基本概念与实现种类掌握使用FreeS WAN配置VPN的方法 TCPWrappers TCPD的概念hosts deny和hosts allow TCPD的概念 tcpd TCPD的概念 Cont xinetd 传统方式 xinetd方式 服务器守护进程 停止服务器守护进程 注册服务器到xinetd服务 启动xinetd服务监听所有已注册的服务器的端口 客户端 xinetd接收到对某个端口的连接请求 xinetd服务器继续监听其它连接请求 xinetd启动注册的服务器程序 接受和处理这个连接 TCPD的概念 Cont tcpd在xinetd中的使用xinetd必须编译libwrapper库的支持改变xinetd中监听到连接请求后启动的程序 hosts deny和hosts allow 语法daemon list client list shell command 访问控制列表的访问 tcpd hosts allow 无匹配项 hosts deny 接受访问 无匹配项 接受访问 拒绝访问 有匹配项 有匹配项 hosts deny和hosts allow Cont 配置访问控制列表1 拒绝所有的访问请求 etc hosts deny 2 配置允许访问的主机和服务 SSH SSH的起源与原理OpenSSH的基本配置OpenSSH的基本应用 SSH的起源与原理 传统网络服务的安全问题网络窃听中间人攻击 SSH的起源与原理 Cont SSH SecureShell 传送加密数据密钥验证登录信息http www ssh orghttp www openssh org SSH的起源与原理 Cont SSH框架结构 SSH的起源与原理 Cont 两种认证方式基于口令的安全验证基于密钥的安全认证OpenSSH的基本应用取代传统的网络应用程序提供加密通道扩展传统网络应用程序的安全性能 OpenSSH的基本配置 安装RPM安装rpm ivhopenssh 3 5p1 6 i386 rpmrpm ivhopenssh server 3 5p1 6 i386 rpmrpm ivhopenssh clients 3 5p1 6 i386 rpmrpm ivhopenssh askpass 3 5p1 6 i386 rpmrpm ivhopenssh askpass gnome 3 5p1 6 i386 rpm源代码包安装 OpenSSH的基本配置 Cont 启动基于口令的验证访问ssh l 在服务器上的用户帐户 服务器地址 OpenSSH的基本配置 Cont 基于密钥的验证访问 OpenSSH的基本配置 Cont 创建密钥ssh keygen发布公钥密钥验证登录 OpenSSH的基本应用 sshOpenSSH客户端 远程登录程序 语法使用 OpenSSH的基本应用 Cont scp远程文件安全拷贝工具语法使用 OpenSSH的基本应用 Cont sftp安全文件传输程序语法使用 OpenSSH的基本应用 Cont rsync快速灵活的远程文件拷贝工具语法rsync esshuser sshhost srcdes使用 OpenSSH的基本应用 Cont 加密通道 ssh f username remotehost L localport fullnameofremotehost remoteport somecommand 连接远程服务器 建立本地到远程服务的加密通道 VPN VPN的基础VPN的几种实现使用FreeS WAN配置VPNVPN的使用与调试 VPN的基础 VPN的概念 将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网 使在虚拟子网内具有本地网络的一切访问特性 VPN的基础 Cont VPN的功能加密数据信息认证和身份认证访问控制多协议支持 VPN的基础 Cont VPN实现技术隧道技术IPSec PPTP L2F L2TP 加解密技术密钥管理使用者与设备身份认证技术 隧道的建立 用户验证令牌卡支持动态地址分配数据压缩数据加密密钥管理多协议支持 VPN的几种实现 基于IPSec的VPN基于PPTP的VPN基于L2F的VPN基于L2TP的VPN基于SSL的VPN IPsec IPsec安全策略协商安全关联 NegotiatedSecurityAssociation 验证报头 AH 封装安全报头IPsec特点只支持IP数据流应用程序和高层协议可以继承IPsec的行为由一个安全策略 一整套过滤机制 进行控制 使用FreeS WAN配置VPN FreeS WAN基于IPsec的VPN实现官方网站http www freeswan org下载ftp ftp xs4all nl pub crypto freeswan 安装编译Linux内核 测试内核的启动应用freeswan的补丁到内核 编译内核和freeswan 安装freeswan安装新的内核映象和内核模块文件重新启动装载新的内核 使用FreeS WAN配置VPN Cont 配置VPN网络结构图 使用FreeS WAN配置VPN Cont 配置 Cont 配置文件 etc ipsec conf四条连接通道左边网络对右边网络左边网络对右边网关左边网关对右边网络左边网关对右边网关配置文件 etc ipsec secrets使用ipsecnewhostkeyfilename命令生成 VPN的使用与调试 启动 etc rc d init d ipsecstart建立连接通道ipsecauto uplnet rnetipsecauto uplnet rgateipsecauto uplgate rnetipsecauto uplgate rgate VPN的使用与调试 Cont 调试使用netstat命令查看路由信息使用ipsecwhack status命令查看连接的通道信息使用ping测试左右网络的内部主机与对方主机的通信情况自动启动连接通道 本章总结 TCPWrapper为Linux对外的服务提供了安全检测的机制 它使用tcpd在指定的网络服务上加上安全防护层 对于外来连接均通过tcpd的安全检测后才交给真正的网络服务进程处理 TCPWrapper的功能来自于libwrap a 它是一个网络服务库 TCPWrapper与xinetd相结合提供对系统服务更安全 方便的管理方式 tcpd的安全检测的信息来自于 etc hosts allow和 etc hosts deny文件提供的访问控制列表 本章总结 Cont SSH通过传输加密数据防止网络数据被窃听的问题 通过密钥认证证机制防止中间人攻击 通过应用加密通道 为其它传统的网络服务提供了数据安全传输的服务 OpenSSH是源码公开的SSH实现产品 提供了传统telnet的功能 包括其它传统网络服务工具的替代品 scp sftp srync及加密通道等 VPN将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网 VPN提供了数据加密 信息和身份认证 访问控制 多协议支持的功能 主要通过隧道 加解密 密钥管理 使用者与设备身份认证四个方面的技术来实现上述安全功能 本章总结 Cont VPN实现体系中最重要的是隧道技术 使用比