Linux网络管理及应用PPT课件.ppt

1、Linux网络管理及应用网络管理及应用第10章 VPN 服务器的配置与应用目标目标n n了解网络安全相关的概念n n了解TCP Wrappers的概念n n掌握配置tcpd服务进行主机登录的限制n n了解SSH基本概念与起源n n掌握OpenSSH的安装配置及应用n n了解VPN的基本概念与实现种类n n掌握使用FreeS/WAN配置VPN的方法TCP WrappersTCP Wrappersn nTCPD的概念n nhosts.deny和hosts.allowTCPDTCPD的概念的概念n ntcpdlibwrapper.at c p dtelnet serverftp server/etc

2、/hosts.allowtelnet 10.238.9.49,ftp 124.33.72.1/etc/hosts.denyftp 10.238.9.49TCPDTCPD的概念（的概念（Cont.Cont.）n nxinetd传统方式传统方式传统方式传统方式xinetdxinetdxinetdxinetd方式方式方式方式服务器守护服务器守护进程进程停止服务器守停止服务器守护进程护进程注册服务器到注册服务器到xinetdxinetd服务服务启动启动xinetdxinetd服务服务监听所有已注册监听所有已注册的服务器的端口的服务器的端口客户端客户端xinetdxinetd接收到接收到对某个端口的对某

3、个端口的连接请求连接请求xinetdxinetd服务器继续服务器继续监听其它连接请求监听其它连接请求xinetdxinetd启动注册的启动注册的服务器程序，接受服务器程序，接受和处理这个连接和处理这个连接TCPDTCPD的概念（的概念（Cont.Cont.）n ntcpd在xinetd中的使用n nxinetdxinetd必须编译必须编译libwrapperlibwrapper库的支持库的支持n n改变改变xinetdxinetd中监听到连接请求后启动的程序中监听到连接请求后启动的程序hosts.denyhosts.deny和和hosts.allowhosts.allown n语法n ndae

4、mon_list:client_list :daemon_list:client_list :shell_command shell_command n n访问控制列表的访问tcpdtcpdhosts.allowhosts.allow无匹配项无匹配项hosts.denyhosts.deny接受访问接受访问无匹配项无匹配项接受访问接受访问拒绝访问拒绝访问有匹配项有匹配项有匹配项有匹配项hosts.denyhosts.deny和和hosts.allowhosts.allow（Cont.Cont.）n n配置访问控制列表1 1、拒绝所有的访问请求（、拒绝所有的访问请求（/etc/hosts.deny

5、/etc/hosts.deny）2 2、配置允许访问的主机和服务、配置允许访问的主机和服务SSHSSHn nSSH的起源与原理n nOpenSSH的基本配置n nOpenSSH的基本应用SSHSSH的起源与原理的起源与原理n n传统网络服务的安全问题n n网络窃听网络窃听n n中间人攻击中间人攻击明文密码数据明文密码数据hacker网络窃听网络窃听伪装服务器伪装服务器SSHSSH的起源与原理（的起源与原理（Cont.Cont.）n nSSH（Secure Shell）n n传送加密数据传送加密数据n n密钥验证登录密钥验证登录n n信息n nhttp:/www.ssh.orghttp:/www

6、.ssh.orgn nhttp:/www.openssh.orghttp:/www.openssh.orgSSHSSH的起源与原理（的起源与原理（Cont.Cont.）n nSSH框架结构SSHSSH的起源与原理（的起源与原理（Cont.Cont.）n n两种认证方式n n基于口令的安全验证基于口令的安全验证n n基于密钥的安全认证基于密钥的安全认证n nOpenSSH的基本应用n n取代传统的网络应用程序取代传统的网络应用程序n n提供加密通道扩展传统网络应用程序的安全性提供加密通道扩展传统网络应用程序的安全性能能OpenSSHOpenSSH的基本配置的基本配置n n安装n nRPMRPM安

7、装安装n nrpm-ivh openssh-3.5p1-6.i386.rpmrpm-ivh openssh-3.5p1-6.i386.rpmn nrpm-ivh openssh-server-3.5p1-6.i386.rpmrpm-ivh openssh-server-3.5p1-6.i386.rpmn nrpm-ivh openssh-clients-3.5p1-6.i386.rpmrpm-ivh openssh-clients-3.5p1-6.i386.rpmn nrpm-ivh openssh-askpass-3.5p1-6.i386.rpmrpm-ivh openssh-askpass

8、-3.5p1-6.i386.rpmn nrpm-ivh openssh-askpass-gnome-3.5p1-rpm-ivh openssh-askpass-gnome-3.5p1-6.i386.rpm6.i386.rpmn n源代码包安装源代码包安装OpenSSHOpenSSH的基本配置（的基本配置（Cont.Cont.）n n启动n n基于口令的验证访问ssh-l ssh-l 在服务器上的用户帐户在服务器上的用户帐户 服务器地址服务器地址OpenSSHOpenSSH的基本配置（的基本配置（Cont.Cont.）n n基于密钥的验证访问OpenSSHOpenSSH的基本配置（的基本配置（C

9、ont.Cont.）n n创建密钥n nssh-keygenssh-keygenn n发布公钥n n密钥验证登录OpenSSHOpenSSH的基本应用的基本应用n nssh OpenSSH客户端（远程登录程序）n n语法n n使用OpenSSHOpenSSH的基本应用（的基本应用（Cont.Cont.）n nscp 远程文件安全拷贝工具n n语法n n使用THANK YOUSUCCESS2024/3/19 周二20可编辑OpenSSHOpenSSH的基本应用（的基本应用（Cont.Cont.）n nsftp 安全文件传输程序n n语法n n使用OpenSSHOpenSSH的基本应用（的基本应用

10、（Cont.Cont.）n nrsync 快速灵活的远程文件拷贝工具n n语法rsync-e ssh usersshhost:src desrsync-e ssh usersshhost:src desn n使用OpenSSHOpenSSH的基本应用（的基本应用（Cont.Cont.）n n加密通道ssh-f usernameremote host-L local ssh-f usernameremote host-L local port:full name of remote host:remote port:full name of remote host:remote port som

11、e command port some command 本地主机本地主机远程服务器远程服务器服务监听端口服务监听端口本地应用程序本地应用程序连接远程服务器连接远程服务器本地任意端口本地任意端口建立本地到远程建立本地到远程服务的加密通道服务的加密通道VPNVPNn nVPN的基础n nVPN的几种实现n n使用FreeS/WAN配置VPNn nVPN的使用与调试VPNVPN的基础的基础n nVPN的概念：将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，使在虚拟子网内具有本地网络的一切访问特性 VPN隧道隧道VPN网关网关VPN网关网关企业总部企业总部私有网络私有网络企业分部企

12、业分部私有网络私有网络VPNVPN的基础（的基础（Cont.Cont.）n nVPN的功能n n加密数据加密数据n n信息认证和身份认证信息认证和身份认证n n访问控制访问控制n n多协议支持多协议支持VPNVPN的基础（的基础（Cont.Cont.）n nVPN实现技术n n隧道技术隧道技术 IPSecIPSec、PPTPPPTP、L2FL2F、L2TPL2TPn n加解密技术加解密技术 n n密钥管理密钥管理n n使用者与设备身份认证技术使用者与设备身份认证技术隧道的建立隧道的建立n n用户验证n n令牌卡支持n n动态地址分配n n数据压缩n n数据加密n n密钥管理n n多协议支持VP

13、NVPN的几种实现的几种实现n n基于IPSec的VPNn n基于PPTP的VPNn n基于L2F的VPNn n基于L2TP的VPNn n基于SSL的VPNIPsecIPsecn nIPsecIPsec安全策略安全策略n n协商安全关联（协商安全关联（Negotiated Security AssociationNegotiated Security Association）n n验证报头验证报头 (AH)(AH)n n封装安全报头封装安全报头n nIPsecIPsec特点特点n n只支持只支持IPIP数据流数据流 n n应用程序和高层协议可以继承应用程序和高层协议可以继承IPsecIPsec

14、的行为的行为 n n由一个安全策略（一整套过滤机制）进行控制由一个安全策略（一整套过滤机制）进行控制 使用使用FreeS/WANFreeS/WAN配置配置VPNVPNn nFreeS/WAN FreeS/WAN 基于基于IPsecIPsec的的VPNVPN实现实现n n官方网站官方网站 http:/www.freeswan.orghttp:/www.freeswan.orgn n下载下载 ftp:/ftp.xs4all.nl/pub/crypto/freeswan/ftp:/ftp.xs4all.nl/pub/crypto/freeswan/n n安装安装n n编译编译LinuxLinux内核

15、，测试内核的启动内核，测试内核的启动n n应用应用freeswanfreeswan的补丁到内核，编译内核和的补丁到内核，编译内核和freeswanfreeswan，安装安装freeswanfreeswann n安装新的内核映象和内核模块文件安装新的内核映象和内核模块文件n n重新启动装载新的内核重新启动装载新的内核使用使用FreeS/WANFreeS/WAN配置配置VPN VPN（Cont.Cont.）n n配置配置n nVPNVPN网络结构图网络结构图使用使用FreeS/WANFreeS/WAN配置配置VPNVPN（Cont.Cont.）n n配置（Cont.）n n配置文件配置文件 /et

16、c/ipsec.conf/etc/ipsec.confn n四条连接通道四条连接通道n n左边网络对右边网络左边网络对右边网络n n左边网络对右边网关左边网络对右边网关n n左边网关对右边网络左边网关对右边网络n n左边网关对右边网关左边网关对右边网关n n配置文件配置文件/etc/ipsec.secrets/etc/ipsec.secretsn n使用使用ipsec newhostkey filenameipsec newhostkey filename命令生成命令生成VPNVPN的使用与调试的使用与调试n n启动/etc/rc.d/init.d/ipsec start/etc/rc.d/i

17、nit.d/ipsec startn n建立连接通道ipsec auto-up lnet-rnetipsec auto-up lnet-rnetipsec auto-up lnet-rgateipsec auto-up lnet-rgateipsec auto-up lgate-rnetipsec auto-up lgate-rnetipsec auto-up lgate-rgateipsec auto-up lgate-rgateVPNVPN的使用与调试（的使用与调试（Cont.Cont.）n n调试n n使用使用netstatnetstat命令查看路由信息命令查看路由信息n n使用使用ip

18、sec whack-statusipsec whack-status 命令查看连接的通命令查看连接的通道信息道信息n n使用使用pingping测试左右网络的内部主机与对方主机测试左右网络的内部主机与对方主机的通信情况的通信情况n n自动启动连接通道本章总结本章总结n nTCP WrapperTCP Wrapper为为LinuxLinux对外的服务提供了安全检测对外的服务提供了安全检测的机制，它使用的机制，它使用tcpdtcpd在指定的网络服务上加上安在指定的网络服务上加上安全防护层，对于外来连接均通过全防护层，对于外来连接均通过tcpdtcpd的安全检测的安全检测后才交给真正的网络服务进程处

19、理。后才交给真正的网络服务进程处理。n nTCP WrapperTCP Wrapper的功能来自于的功能来自于libwrap.alibwrap.a，它是一个，它是一个网络服务库。网络服务库。TCP WrapperTCP Wrapper与与xinetdxinetd相结合提供对相结合提供对系统服务更安全、方便的管理方式。系统服务更安全、方便的管理方式。n ntcpdtcpd的安全检测的信息来自于的安全检测的信息来自于/etc/hosts.allow/etc/hosts.allow和和/etc/hosts.deny/etc/hosts.deny文件提供的访问控制列表。文件提供的访问控制列表。本章总结

20、（本章总结（Cont.Cont.）n nSSHSSH通过传输加密数据防止网络数据被窃听的问题；通过密钥认证证通过传输加密数据防止网络数据被窃听的问题；通过密钥认证证机制防止中间人攻击。通过应用加密通道，为其它传统的网络服务提机制防止中间人攻击。通过应用加密通道，为其它传统的网络服务提供了数据安全传输的服务。供了数据安全传输的服务。n nOpenSSHOpenSSH是源码公开的是源码公开的SSHSSH实现产品，提供了传统实现产品，提供了传统telnettelnet的功能，包括的功能，包括其它传统网络服务工具的替代品：其它传统网络服务工具的替代品：scpscp、sftpsftp、sryncsryn

21、c及加密通道等。及加密通道等。n nVPNVPN将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网。的虚拟子网。VPNVPN提供了数据加密、信息和身份认证、访问控制、多提供了数据加密、信息和身份认证、访问控制、多协议支持的功能，主要通过隧道、加解密、密钥管理、使用者与设备协议支持的功能，主要通过隧道、加解密、密钥管理、使用者与设备身份认证四个方面的技术来实现上述安全功能。身份认证四个方面的技术来实现上述安全功能。本章总结（本章总结（Cont.Cont.）n nVPNVPN实现体系中最重要的是隧道技术，使用比较多实现体系中最

22、重要的是隧道技术，使用比较多的包括五种隧道技术：的包括五种隧道技术：IPsecIPsec、PPTPPPTP、L2FL2F、L2TPL2TP、SSLSSL。n nFreeS/WANFreeS/WAN是基于是基于IPsecIPsec技术的技术的VPNVPN实现。它通过对实现。它通过对LinuxLinux内核应用补丁文件而嵌入到内核的网络处理内核应用补丁文件而嵌入到内核的网络处理模块中工作。模块中工作。n nFreeS/WANFreeS/WAN的配置文件是的配置文件是/etc/ipsec.conf/etc/ipsec.conf和和/etc/ipsec.secrets/etc/ipsec.secrets，分别用来配置连接隧道和，分别用来配置连接隧道和密钥管理信息密钥管理信息THANK YOUSUCCESS2024/3/19 周二39可编辑