實(shí)訓(xùn)七、Linux下利用sslexplorer實(shí)現(xiàn)SSL-VPN

實(shí)訓(xùn)七、Linux下利用sslexplorer實(shí)現(xiàn)SSLVPN一、實(shí)驗(yàn)?zāi)康?、學(xué)習(xí)sslexplorer實(shí)現(xiàn)SSLVPN的根本知識及原理2、掌握linux

利用sslexplorer實(shí)現(xiàn)SSLVPN的搭建二、實(shí)驗(yàn)時(shí)數(shù)：2小時(shí)三、實(shí)驗(yàn)環(huán)境1、實(shí)驗(yàn)平臺環(huán)境如下列圖所示，VPC1-SSLServer〔98〕網(wǎng)絡(luò)接口eth0與VPC2-客戶端〔99〕網(wǎng)絡(luò)接口eth0互連互通。2、VPC1操作系統(tǒng)為CentosLinux〔root/toor，登錄用戶/密碼為centos/centos〕；VPC2可以采用xp/Windows2003操作系統(tǒng)。四、實(shí)驗(yàn)內(nèi)容1、安裝JAVAJDK；2、安裝ssl-explorer；3、測試ssl-explorer效勞。五、實(shí)驗(yàn)步驟〔一〕、安裝JAVAJDK1、JDK包準(zhǔn)備：到官網(wǎng)下載jdk(，注意版本不要太高)，2、安裝JDK包：通過終端在/opt目錄下新建java文件夾，輸入：mkdir/opt/java然后將下載的JDK包拷貝到j(luò)ava文件夾中，輸入：#cp/opt/java然后進(jìn)入java目錄，輸入：cd/opt/java安裝JDK包，輸入：以上操作如下列圖所示。3、設(shè)置jdk環(huán)境變量輸入：vi/etc/profile翻開之后在末尾添加exportJRE_HOME=/opt/jexportPATH=$JAVA_HOME/bin:$JRE_HOME/bin:$ANT_HOME/bin:$PATH在上述添加過程中，等號兩側(cè)不要參加空格，然后保存輸入：source/etc/profile使profile修改生效4、檢驗(yàn)是否安裝成功在終端輸入：java-version如果正確顯示java版本號，說明java及環(huán)境參數(shù)都設(shè)好了，如下列圖：〔二〕安裝ssl-explorer安裝ssl-explorer的第一步是安裝ant。Ant的安裝是為了對sslexplorer進(jìn)行編輯安裝用的。1.安裝ant〔針對上面對JDK【.bin后綴文件】的安裝方式，可以省略這局部操作〕〔1〕下載apache-ant-1.7.0-bin.tar.gz，并復(fù)制到/opt/目錄wget:///dist/ant/binaries/apache-ant-1.7.0-bin.tar.gz〔已下載〕〔2〕安裝與解壓解壓：將解壓后的apache-ant-1.7.0目錄映射到一個(gè)ant目錄：#ln-sapache-ant-1.7.0ant〔3〕設(shè)置環(huán)境修改/etc/profile文件，在末尾添加語句：exportANT_HOME=/opt/antexportPATH=/opt/ant/bin:$PATH#source/etc/profile//使修改生效〔4〕測試#ant-version環(huán)境配置成功〔1〕下載sslexplorer_linux_rpm_1_0_0_RC17.zip壓縮包〔:///projects/sslexplorer/〕〔已下載〕〔2〕對該效勞器ip進(jìn)行配置〔3〕復(fù)制到/opt/目錄后，并使用unzip解包：#unzipsslexplore〔4〕使用rpm進(jìn)行安裝〔5〕安裝sslexplorer，如下列圖所示。〔6〕在/opt/sslexplorer目錄下安裝sslexplorer的Web配置界面，如下列圖所示。(7)翻開一個(gè)IE，輸入：://本機(jī)IP:28080，進(jìn)入一個(gè)WEB配置向?qū)?

并在這里指定一個(gè)superuser和密碼、parchase，導(dǎo)入或生成證書等，配置完后保存并退出。本實(shí)驗(yàn)中ip地址是98。具體設(shè)置如下：設(shè)置的第一局部是創(chuàng)立一個(gè)使用SSL-Explorer自帶組件的一個(gè)SSL證書。

選擇CreateNewCertificate選項(xiàng)并單擊Next按鈕。

設(shè)置密碼，密碼必須至少6個(gè)字符，密碼為：syq123456，單擊Next按鈕。

設(shè)置證書的參數(shù)，完成后單擊Next按鈕。

創(chuàng)立證書后，對用戶數(shù)據(jù)庫的類型進(jìn)行設(shè)置。此步驟將會創(chuàng)立一個(gè)內(nèi)置的數(shù)據(jù)庫只有一個(gè)超級用戶time-being。選擇bulit-in的選項(xiàng)并單擊Next按鈕。

數(shù)據(jù)庫類型已經(jīng)選定，現(xiàn)在設(shè)置超級用戶帳戶的用戶名和密碼。還可以輸入一個(gè)電子郵件地址然后單擊Next按鈕。本實(shí)驗(yàn)中將超級用戶帳戶的用戶名設(shè)置為syuanquan，密碼設(shè)置為syq123456，還考慮設(shè)置為：admin/123456。

接下來對SSL-Explorer的web效勞器進(jìn)行配置。此選項(xiàng)卡使用默認(rèn)的設(shè)置即可。單擊Next按鈕。

本實(shí)驗(yàn)無代理效勞器所以不需要對代理進(jìn)行配置，單擊Next按鈕繼續(xù)。單擊Next按鈕。

最后一步查看配置參數(shù)，單擊Finish按鈕。完成sslexplorer的安裝退出安裝?！?〕更改/opt/sslexplorer/install/platforms/linux下文件的權(quán)限為777?！?〕更改/opt/sslexplorer/install/platforms/linux/x86下wrapper文件的權(quán)限為777。〔10〕對sslexplorer安裝目錄的conf子目錄下的兩個(gè)文件進(jìn)行修改(其作用是保證我們連接SSLVPN網(wǎng)頁時(shí)，輸入管理員帳號和密碼時(shí)能正常登錄進(jìn)入系統(tǒng)，不會出現(xiàn)帳號無效的情況)。A、對wrapper.conf修改，利用viwrapper.conf進(jìn)行編輯，在尾部添加：wrapper.java.additional.1=-Dfile.encoding=UTF-8，并保存。B、對perties修改，利用viperties進(jìn)行編輯，在尾部添加：file.encoding=UTF-8，并保存。〔11〕退回上層目錄，使用servicesslexplorerstart命令安裝開啟sslexplorer效勞并查看sslexplorer效勞的狀態(tài)?！踩吃谛谄鞫耸褂胹://98測試sslexplorer效勞。輸入用戶名syuanquan，密碼syq123456?！菜摹吃诳蛻舳耸褂胹://98測試sslexplorer效勞。(1)客戶端ip配置(2)利用客戶端對效勞器SSLexplorer登錄訪問時(shí)，先在效勞器端關(guān)閉防火墻設(shè)置，即iptables–F。(3)測試sslexplorer效勞輸入用戶名syuanquan密碼syq123456。(五)抓包分析(通過Wireshark進(jìn)行協(xié)議分析)六、實(shí)驗(yàn)報(bào)告內(nèi)容要求1．簡要的實(shí)驗(yàn)操作步驟；2．實(shí)驗(yàn)完成情況說明；3．實(shí)驗(yàn)過程中存在的問題與討論。預(yù)備知識：一、SSL協(xié)議簡介SSL協(xié)議是一種建立在應(yīng)用層的VPN隧道協(xié)議，平安性很高。從密鑰協(xié)商、加密算法、密鑰長度來說與IPSec相同。已經(jīng)在各大國際銀行、證券、電子商務(wù)應(yīng)用中采用。二、SSLVPN簡介SSLVPN技術(shù)幫助用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問企業(yè)內(nèi)部應(yīng)用。這使得企業(yè)員工只要能夠訪問到公眾網(wǎng)絡(luò)時(shí)，就能通過SSLVPN隧道平安地訪問到企業(yè)資源，這為企業(yè)提高了效率也帶來了方便。一般認(rèn)為：SSLVPN無需安裝客戶端軟件，通過遠(yuǎn)程建立的SSL隧道訪問內(nèi)部效勞器的代理技術(shù)，并對效勞器內(nèi)容提供基于用戶認(rèn)證、遠(yuǎn)程站點(diǎn)檢查的資源訪問控制。由于SSLVPN工作在應(yīng)用層，認(rèn)證方式更加靈活，可以是口令、證書、硬件令牌、RADIUS、LDAP、ActiveDirectory等，并且可以做遠(yuǎn)程主機(jī)檢查，以確保訪問內(nèi)部效勞器的遠(yuǎn)程主機(jī)是平安的。另外，成熟的SSLVPN產(chǎn)品一般提供三種級別遠(yuǎn)程訪問：遠(yuǎn)程Web訪問〔核心功能〕、C/S應(yīng)用、網(wǎng)絡(luò)層連接。在Web訪問方面能夠提供基于用戶認(rèn)證的細(xì)粒度內(nèi)容訪問控制，C/S應(yīng)用訪問控制功能相對減弱，網(wǎng)絡(luò)層連接所提供的訪問控制與IPSec一樣弱。所以，SSLVPN現(xiàn)已成為遠(yuǎn)程訪問VPN的新寵。除了具備與IPSecVPN相當(dāng)?shù)钠桨残酝?，還增加了訪問控制機(jī)制，客戶端只需要擁有支持SSL的瀏覽器即可，可以說是零配置，非常適合遠(yuǎn)程用戶訪問企業(yè)內(nèi)部網(wǎng)。SSLVPN是一種低本錢、高平安性、簡便易用的遠(yuǎn)程訪問VPN解決方案，具備相當(dāng)大的開展?jié)摿?。不僅如此，SSLVPN還可以用于保護(hù)內(nèi)部網(wǎng)絡(luò)應(yīng)用，因?yàn)槠桨诧L(fēng)險(xiǎn)很大程度來自組織內(nèi)部。隨著越來越多的公司將自己的應(yīng)用轉(zhuǎn)向Web平臺，SSLVPN會得到更為廣泛的應(yīng)用。SSLVPN的出現(xiàn)是為了解決IPSecVPN的固有缺點(diǎn)而出現(xiàn)的，SSLVPN繼承了IPSecVPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致、與應(yīng)用無關(guān)的優(yōu)點(diǎn)，防止了因有客戶端而導(dǎo)致的使用維護(hù)不便、某些網(wǎng)絡(luò)條件下無法接通、