Linux網(wǎng)絡管理及應用課件

Linux網(wǎng)絡管理及應用第10章VPN服務器的配置與應用Linux網(wǎng)絡管理及應用第10章VPN服務器的配置與應用1目標了解網(wǎng)絡安全相關(guān)的概念了解TCPWrappers的概念掌握配置tcpd服務進行主機登錄的限制了解SSH基本概念與起源掌握OpenSSH的安裝配置及應用了解VPN的基本概念與實現(xiàn)種類掌握使用FreeS/WAN配置VPN的方法目標了解網(wǎng)絡安全相關(guān)的概念2TCPWrappersTCPD的概念hosts.deny和hosts.allowTCPWrappersTCPD的概念3TCPD的概念tcpdlibwrapper.atcpdtelnetserverftpserver…………/etc/hosts.allowtelnet9,…ftp…/etc/hosts.denyftp9…TCPD的概念tcpdlibwrapper.atcpdtel4TCPD的概念（Cont.）xinetd傳統(tǒng)方式xinetd方式服務器守護進程停止服務器守護進程注冊服務器到xinetd服務啟動xinetd服務監(jiān)聽所有已注冊的服務器的端口客戶端xinetd接收到對某個端口的連接請求xinetd服務器繼續(xù)監(jiān)聽其它連接請求xinetd啟動注冊的服務器程序，接受和處理這個連接TCPD的概念（Cont.）xinetd傳統(tǒng)方式xinetd5TCPD的概念（Cont.）tcpd在xinetd中的使用xinetd必須編譯libwrapper庫的支持改變xinetd中監(jiān)聽到連接請求后啟動的程序TCPD的概念（Cont.）tcpd在xinetd中的使用6hosts.deny和hosts.allow語法daemon_list:client_list[:shell_command]訪問控制列表的訪問tcpdhosts.allow無匹配項hosts.deny接受訪問無匹配項接受訪問拒絕訪問有匹配項有匹配項hosts.deny和hosts.allow語法tcpdho7hosts.deny和hosts.allow（Cont.）配置訪問控制列表1、拒絕所有的訪問請求（/etc/hosts.deny）2、配置允許訪問的主機和服務hosts.deny和hosts.allow（Cont.）配8SSHSSH的起源與原理OpenSSH的基本配置OpenSSH的基本應用SSHSSH的起源與原理9SSH的起源與原理傳統(tǒng)網(wǎng)絡服務的安全問題網(wǎng)絡竊聽中間人攻擊明文密碼數(shù)據(jù)hacker網(wǎng)絡竊聽偽裝服務器SSH的起源與原理傳統(tǒng)網(wǎng)絡服務的安全問題明文密碼數(shù)據(jù)hack10SSH的起源與原理（Cont.）SSH（SecureShell）傳送加密數(shù)據(jù)密鑰驗證登錄信息SSH的起源與原理（Cont.）SSH（SecureShe11SSH的起源與原理（Cont.）SSH框架結(jié)構(gòu)SSH的起源與原理（Cont.）SSH框架結(jié)構(gòu)12SSH的起源與原理（Cont.）兩種認證方式基于口令的安全驗證基于密鑰的安全認證OpenSSH的基本應用取代傳統(tǒng)的網(wǎng)絡應用程序提供加密通道擴展傳統(tǒng)網(wǎng)絡應用程序的安全性能SSH的起源與原理（Cont.）兩種認證方式13OpenSSH的基本配置安裝RPM安裝rpm-ivhopenssh-3.5p1-6.i386.rpmrpm-ivhopenssh-server-3.5p1-6.i386.rpmrpm-ivhopenssh-clients-3.5p1-6.i386.rpmrpm-ivhopenssh-askpass-3.5p1-6.i386.rpmrpm-ivhopenssh-askpass-gnome-3.5p1-6.i386.rpm源代碼包安裝OpenSSH的基本配置安裝14OpenSSH的基本配置（Cont.）啟動基于口令的驗證訪問ssh-l[在服務器上的用戶帳戶]服務器地址OpenSSH的基本配置（Cont.）啟動15OpenSSH的基本配置（Cont.）基于密鑰的驗證訪問OpenSSH的基本配置（Cont.）基于密鑰的驗證訪問16OpenSSH的基本配置（Cont.）創(chuàng)建密鑰ssh-keygen發(fā)布公鑰密鑰驗證登錄OpenSSH的基本配置（Cont.）創(chuàng)建密鑰17OpenSSH的基本應用sshOpenSSH客戶端（遠程登錄程序）語法使用OpenSSH的基本應用sshOpenSSH客戶端（遠程登18OpenSSH的基本應用（Cont.）scp遠程文件安全拷貝工具語法使用OpenSSH的基本應用（Cont.）scp遠程文件安全拷19OpenSSH的基本應用（Cont.）sftp安全文件傳輸程序語法使用OpenSSH的基本應用（Cont.）sftp安全文件傳輸20OpenSSH的基本應用（Cont.）rsync快速靈活的遠程文件拷貝工具語法rsync-esshuser@sshhost:srcdes使用OpenSSH的基本應用（Cont.）rsync快速靈活的21OpenSSH的基本應用（Cont.）加密通道ssh-f[username@remotehost]-L[localport]:[fullnameofremotehost]:[remoteport][somecommand]本地主機遠程服務器服務監(jiān)聽端口本地應用程序連接遠程服務器本地任意端口建立本地到遠程服務的加密通道OpenSSH的基本應用（Cont.）加密通道ssh-f22VPNVPN的基礎VPN的幾種實現(xiàn)使用FreeS/WAN配置VPNVPN的使用與調(diào)試VPNVPN的基礎23VPN的基礎VPN的概念：將物理上分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)，使在虛擬子網(wǎng)內(nèi)具有本地網(wǎng)絡的一切訪問特性VPN隧道VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)企業(yè)總部私有網(wǎng)絡企業(yè)分部私有網(wǎng)絡VPN的基礎VPN的概念：將物理上分布在不同地點的網(wǎng)絡通過公24VPN的基礎（Cont.）VPN的功能加密數(shù)據(jù)信息認證和身份認證訪問控制多協(xié)議支持VPN的基礎（Cont.）VPN的功能25VPN的基礎（Cont.）VPN實現(xiàn)技術(shù)隧道技術(shù)IPSec、PPTP、L2F、L2TP…加解密技術(shù)密鑰管理使用者與設備身份認證技術(shù)VPN的基礎（Cont.）VPN實現(xiàn)技術(shù)26隧道的建立用戶驗證令牌卡支持動態(tài)地址分配數(shù)據(jù)壓縮數(shù)據(jù)加密密鑰管理多協(xié)議支持隧道的建立用戶驗證27VPN的幾種實現(xiàn)基于IPSec的VPN基于PPTP的VPN基于L2F的VPN基于L2TP的VPN基于SSL的VPNVPN的幾種實現(xiàn)基于IPSec的VPN28IPsecIPsec安全策略協(xié)商安全關(guān)聯(lián)（NegotiatedSecurityAssociation）驗證報頭(AH)封裝安全報頭IPsec特點只支持IP數(shù)據(jù)流應用程序和高層協(xié)議可以繼承IPsec的行為由一個安全策略（一整套過濾機制）進行控制IPsecIPsec安全策略29使用FreeS/WAN配置VPNFreeS/WAN基于IPsec的VPN實現(xiàn)官方網(wǎng)站下載ftp://ftp.xs4all.nl/pub/crypto/freeswan/安裝編譯Linux內(nèi)核，測試內(nèi)核的啟動應用freeswan的補丁到內(nèi)核，編譯內(nèi)核和freeswan，安裝freeswan安裝新的內(nèi)核映象和內(nèi)核模塊文件重新啟動裝載新的內(nèi)核使用FreeS/WAN配置VPNFreeS/WAN基于IP30使用FreeS/WAN配置VPN（Cont.）配置VPN網(wǎng)絡結(jié)構(gòu)圖使用FreeS/WAN配置VPN（Cont.）配置31使用FreeS/WAN配置VPN（Cont.）配置（Cont.）配置文件/etc/ipsec.conf四條連接通道左邊網(wǎng)絡對右邊網(wǎng)絡左邊網(wǎng)絡對右邊網(wǎng)關(guān)左邊網(wǎng)關(guān)對右邊網(wǎng)絡左邊網(wǎng)關(guān)對右邊網(wǎng)關(guān)配置文件/etc/ipsec.secrets使用ipsecnewhostkeyfilename命令生成使用FreeS/WAN配置VPN（Cont.）配置（Cont32VPN的使用與調(diào)試啟動/etc/rc.d/init.d/ipsecstart建立連接通道ipsecauto-uplnet-rnetipsecauto-uplnet-rgateipsecauto-uplgate-rnetipsecauto-uplgate-rgateVPN的使用與調(diào)試啟動33VPN的使用與調(diào)試（Cont.）調(diào)試使用netstat命令查看路由信息使用ipsecwhack--status命令查看連接的通道信息使用ping測試左右網(wǎng)絡的內(nèi)部主機與對方主機的通信情況自動啟動連接通道VPN的使用與調(diào)試（Cont.）調(diào)試34本章總結(jié)TCPWrapper為Linux對外的服務提供了安全檢測的機制，它使用tcpd在指定的網(wǎng)絡服務上加上安全防護層，對于外來連接均通過tcpd的安全檢測后才交給真正的網(wǎng)絡服務進程處理。TCPWrapper的功能來自于libwrap.a，它是一個網(wǎng)絡服務庫。TCPWrapper與xinetd相結(jié)合提供對系統(tǒng)服務更安全、方便的管理方式。tcpd的安全檢測的信息來自于/etc/hosts.allow和/etc/hosts.deny文件提供的訪問控制列表。本章總結(jié)TCPWrapper為Linux對外的服務提供了安35本章總結(jié)（Cont.）SSH通過傳輸加密數(shù)據(jù)防止網(wǎng)絡數(shù)據(jù)被竊聽的問題；通過密鑰認證證機制防止中間人攻擊。通過應用加密通道，為其它傳統(tǒng)的網(wǎng)絡服務提供了數(shù)據(jù)安全傳輸?shù)姆?。OpenSSH是源碼公開的SSH實現(xiàn)產(chǎn)品，提供了傳統(tǒng)telnet的功能，包括其它傳統(tǒng)網(wǎng)絡服務工具的替代品：scp、sftp、srync及加密通道等。VPN將物理上分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)。VPN提供了數(shù)據(jù)加密、信息和身份認證、訪問控制、多協(xié)議支持的功能，主要通過隧道、加解密、密鑰管理、使用者與設備身份認證四個方面的技術(shù)來實現(xiàn)上述安全功能。本章總結(jié)（Cont.）SSH通過傳輸加密數(shù)據(jù)防止網(wǎng)絡數(shù)據(jù)被竊36本章總結(jié)（Cont.）VPN實現(xiàn)體系中最重要的是隧道技術(shù)，使用比較多的包括五種隧道技術(shù)：IPsec、PPTP、L2F、L2TP、SSL。FreeS/WAN是基于IPsec技術(shù)的VPN實現(xiàn)。它通過對Linux內(nèi)核應用補丁文件而嵌入到內(nèi)核的網(wǎng)絡處理模塊中工作。FreeS/WAN的配置文件是/etc/ipsec.conf和/etc/ipsec.secrets，分別用來配置連接隧道和密鑰管理信息本章總結(jié)（Cont.）VPN實現(xiàn)體系中最重要的是隧道技術(shù)，使37Linux網(wǎng)絡管理及應用第10章VPN服務器的配置與應用Linux網(wǎng)絡管理及應用第10章VPN服務器的配置與應用38目標了解網(wǎng)絡安全相關(guān)的概念了解TCPWrappers的概念掌握配置tcpd服務進行主機登錄的限制了解SSH基本概念與起源掌握OpenSSH的安裝配置及應用了解VPN的基本概念與實現(xiàn)種類掌握使用FreeS/WAN配置VPN的方法目標了解網(wǎng)絡安全相關(guān)的概念39TCPWrappersTCPD的概念hosts.deny和hosts.allowTCPWrappersTCPD的概念40TCPD的概念tcpdlibwrapper.atcpdtelnetserverftpserver…………/etc/hosts.allowtelnet9,…ftp…/etc/hosts.denyftp9…TCPD的概念tcpdlibwrapper.atcpdtel41TCPD的概念（Cont.）xinetd傳統(tǒng)方式xinetd方式服務器守護進程停止服務器守護進程注冊服務器到xinetd服務啟動xinetd服務監(jiān)聽所有已注冊的服務器的端口客戶端xinetd接收到對某個端口的連接請求xinetd服務器繼續(xù)監(jiān)聽其它連接請求xinetd啟動注冊的服務器程序，接受和處理這個連接TCPD的概念（Cont.）xinetd傳統(tǒng)方式xinetd42TCPD的概念（Cont.）tcpd在xinetd中的使用xinetd必須編譯libwrapper庫的支持改變xinetd中監(jiān)聽到連接請求后啟動的程序TCPD的概念（Cont.）tcpd在xinetd中的使用43hosts.deny和hosts.allow語法daemon_list:client_list[:shell_command]訪問控制列表的訪問tcpdhosts.allow無匹配項hosts.deny接受訪問無匹配項接受訪問拒絕訪問有匹配項有匹配項hosts.deny和hosts.allow語法tcpdho44hosts.deny和hosts.allow（Cont.）配置訪問控制列表1、拒絕所有的訪問請求（/etc/hosts.deny）2、配置允許訪問的主機和服務hosts.deny和hosts.allow（Cont.）配45SSHSSH的起源與原理OpenSSH的基本配置OpenSSH的基本應用SSHSSH的起源與原理46SSH的起源與原理傳統(tǒng)網(wǎng)絡服務的安全問題網(wǎng)絡竊聽中間人攻擊明文密碼數(shù)據(jù)hacker網(wǎng)絡竊聽偽裝服務器SSH的起源與原理傳統(tǒng)網(wǎng)絡服務的安全問題明文密碼數(shù)據(jù)hack47SSH的起源與原理（Cont.）SSH（SecureShell）傳送加密數(shù)據(jù)密鑰驗證登錄信息SSH的起源與原理（Cont.）SSH（SecureShe48SSH的起源與原理（Cont.）SSH框架結(jié)構(gòu)SSH的起源與原理（Cont.）SSH框架結(jié)構(gòu)49SSH的起源與原理（Cont.）兩種認證方式基于口令的安全驗證基于密鑰的安全認證OpenSSH的基本應用取代傳統(tǒng)的網(wǎng)絡應用程序提供加密通道擴展傳統(tǒng)網(wǎng)絡應用程序的安全性能SSH的起源與原理（Cont.）兩種認證方式50OpenSSH的基本配置安裝RPM安裝rpm-ivhopenssh-3.5p1-6.i386.rpmrpm-ivhopenssh-server-3.5p1-6.i386.rpmrpm-ivhopenssh-clients-3.5p1-6.i386.rpmrpm-ivhopenssh-askpass-3.5p1-6.i386.rpmrpm-ivhopenssh-askpass-gnome-3.5p1-6.i386.rpm源代碼包安裝OpenSSH的基本配置安裝51OpenSSH的基本配置（Cont.）啟動基于口令的驗證訪問ssh-l[在服務器上的用戶帳戶]服務器地址OpenSSH的基本配置（Cont.）啟動52OpenSSH的基本配置（Cont.）基于密鑰的驗證訪問OpenSSH的基本配置（Cont.）基于密鑰的驗證訪問53OpenSSH的基本配置（Cont.）創(chuàng)建密鑰ssh-keygen發(fā)布公鑰密鑰驗證登錄OpenSSH的基本配置（Cont.）創(chuàng)建密鑰54OpenSSH的基本應用sshOpenSSH客戶端（遠程登錄程序）語法使用OpenSSH的基本應用sshOpenSSH客戶端（遠程登55OpenSSH的基本應用（Cont.）scp遠程文件安全拷貝工具語法使用OpenSSH的基本應用（Cont.）scp遠程文件安全拷56OpenSSH的基本應用（Cont.）sftp安全文件傳輸程序語法使用OpenSSH的基本應用（Cont.）sftp安全文件傳輸57OpenSSH的基本應用（Cont.）rsync快速靈活的遠程文件拷貝工具語法rsync-esshuser@sshhost:srcdes使用OpenSSH的基本應用（Cont.）rsync快速靈活的58OpenSSH的基本應用（Cont.）加密通道ssh-f[username@remotehost]-L[localport]:[fullnameofremotehost]:[remoteport][somecommand]本地主機遠程服務器服務監(jiān)聽端口本地應用程序連接遠程服務器本地任意端口建立本地到遠程服務的加密通道OpenSSH的基本應用（Cont.）加密通道ssh-f59VPNVPN的基礎VPN的幾種實現(xiàn)使用FreeS/WAN配置VPNVPN的使用與調(diào)試VPNVPN的基礎60VPN的基礎VPN的概念：將物理上分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)，使在虛擬子網(wǎng)內(nèi)具有本地網(wǎng)絡的一切訪問特性VPN隧道VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)企業(yè)總部私有網(wǎng)絡企業(yè)分部私有網(wǎng)絡VPN的基礎VPN的概念：將物理上分布在不同地點的網(wǎng)絡通過公61VPN的基礎（Cont.）VPN的功能加密數(shù)據(jù)信息認證和身份認證訪問控制多協(xié)議支持VPN的基礎（Cont.）VPN的功能62VPN的基礎（Cont.）VPN實現(xiàn)技術(shù)隧道技術(shù)IPSec、PPTP、L2F、L2TP…加解密技術(shù)密鑰管理使用者與設備身份認證技術(shù)VPN的基礎（Cont.）VPN實現(xiàn)技術(shù)63隧道的建立用戶驗證令牌卡支持動態(tài)地址分配數(shù)據(jù)壓縮數(shù)據(jù)加密密鑰管理多協(xié)議支持隧道的建立用戶驗證64VPN的幾種實現(xiàn)基于IPSec的VPN基于PPTP的VPN基于L2F的VPN基于L2TP的VPN基于SSL的VPNVPN的幾種實現(xiàn)基于IPSec的VPN65IPsecIPsec安全策略協(xié)商安全關(guān)聯(lián)（NegotiatedSecurityAssociation）驗證報頭(AH)封裝安全報頭IPsec特點只支持IP數(shù)據(jù)流應用程序和高層協(xié)議可以繼承IPsec的行為由一個安全策略（一整套過濾機制）進行控制IPsecIPsec安全策略66使用FreeS/WAN配置VPNFreeS/WAN基于IPsec的VPN實現(xiàn)官方網(wǎng)站下載ftp://ftp.xs4all.nl/pub/crypto/freeswan/安裝編譯Linux內(nèi)核，測試內(nèi)核的啟動應用freeswan的補丁到內(nèi)核，編譯內(nèi)核和freeswan，安裝freeswan安裝新的內(nèi)核映象和內(nèi)核模塊文件重新啟動裝載新的內(nèi)核使用FreeS/WAN配置VPNFreeS/WAN基于IP67使用FreeS/WAN配置VPN（Cont.）配置VPN網(wǎng)絡結(jié)構(gòu)圖使用FreeS/WAN配置VPN（Cont.）配置68使用FreeS/WAN配置VPN（Cont.）配置（Cont.）配置文件/etc/ipsec.conf四條連接通道左邊網(wǎng)絡對右邊網(wǎng)絡左邊網(wǎng)絡對右邊網(wǎng)關(guān)左邊網(wǎng)關(guān)對右邊網(wǎng)絡左邊網(wǎng)關(guān)對右邊網(wǎng)關(guān)配置文件/etc/ipsec.secrets使用ipsecnewhostkeyfilename命令生成使用FreeS/WAN配置VPN（Cont.）配置（Cont69VPN的使用與調(diào)試啟動/etc/rc.d/init.d/ipsecstart建立連接通道ipsecauto-uplnet-rnetipsecauto-uplnet-rgateipsecauto-uplgate-rnetipsecauto-uplgate-rgateVPN的使用與調(diào)試啟動70