Linux中国  设为主页
 收藏本站
 
当前位置: > 首页 ->Linux技术 ->Linux安全 ->IP安全加密 IPSec安全技术全面接触
  相关分类: 
入门与提高
系统管理
网络应用
嵌入式系统
内核研究
服务器相关
发行版专区
Linux程序设计
Linux安全
BSD相关
桌面应用
  站内搜索: 
热门文章排行
热门文章排行 linux环境变量设置及保存地点 (04-22)
Apache 门户项目组介绍 (04-22)
黑客高级技巧 Linux后门技术及实践 (05-01)
安全多方位 Linux系统守护进程详解 (04-20)
UNIX 高手的10 个习惯 (04-22)
精采文章排行
精采文章排行 黑客高级技巧 Linux后门技术及实践 (05-01)
IP安全加密 IPSec安全技术全面接触 (05-01)
LINUX2.4.x网络安全框架 (04-26)
分级防御对Linux服务器的攻击 (04-26)
基于Linux开发的FireboxⅡFastVPN (04-26)
  ·黑客高级技巧 Linux后门技术及实践 ·LINUX2.4.x网络安全框架 ·分级防御对Linux服务器的攻击 ·基于Linux开发的FireboxⅡFastVPN ·十项Linux安全管理技巧经验总结 ·高级Linux安全管理技巧 ·发现Linux压缩格式漏洞 达第二最危险级别·Unix和Linux下的Acrobat Reader 5受攻击 ·Linux操作系统下防垃圾邮件基本功

IP安全加密 IPSec安全技术全面接触

作者:Webmaster   来源:赛迪网技术社区    点击:   日期:2007-05-01 [收藏] [投稿]

  IE是否经常中毒?推荐您

(6) 如果验证正确,那么解密并把这个包转发到真正的目的主机。

Linux上安装IPsec的例子

src/linux,并编译、安装和重启内核,以测试新内核。在使IPSec正常工作之前必须保证网络工作正常。接着将IPSec for Linux源代码解压到/usr/local/src目录下,运行安装程序"make menugo",对内核进行"补丁"。再运行内核的配置程序。最后就是安装IPSec工具和内核。

#cd /usr/src/

#cp /usr/src/linux-2.4.2 linux

#cd /usr/src/linux

#make menuconfig

#cd ../

#tar zvxf freeswan-1.91-1.tar.gz

#cd freeswan-1.91

#make menugo

确保已保存好内核的配置。特别要注意本机网卡的型号,在编译内核时要把网卡的驱动程序加进去,否则,网络将不通。

现在我们需要修改LILO配置文件lilo.conf,并重新运行lilo和重新启动系统内核。

lilo.conf文件例子如下:

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

prompt

timeout=100

image=/usr/src/linux/arch/i386/boot/bzImage boot/vmlinuz-2.2.10-ipsec

label=linux-ipsec

root=/dev/hda1

read-only

image=/boot/vmlinuz-2.2.10

label=linux

root=/dev/hda1

read-only

重新运行lilo,系统提示:

linux-ipsec *

linux

然后重新启动带有IPSec支持的 2.4.2内核的系统。系统重启时会出现几个错误,这主要是IPSec在缺省情况下使用了实际并不存在的eth999接口。建议你将ipsec程序的路径加入到用户环境变量中。IPSec的网络设置。首先,需要允许网关服务器的TCP-IP转发。在Orbita Linux 3.0系统中的实现方法:

直接修改/proc文件系统,执行以下命令即可:

#vi /proc/sys/net/ipv4/ip_forward

把"0"改为"1"。

由于大多数人都使用了缺省的禁止IP转发安全策略,但必须允许数据从远程网络或主机传送到本地网络或主机中。而且,任何使用了IPSec的内部网络的所有伪(masquerade)规则都必须在允许IPSec的规则之后进行,否则主机将试图伪装(masquerade)数据包,而不是将它们传递给IPSec。

以下例子说明了如何在两个已使用了IP masquerading伪装的受保护网络之间通过IPSec进行安全的互联网连接:

 

手工(固定)密钥连接 (Manual connection keying)

先通过使用手工(固定)密钥,并编辑ipsec.conf和防火墙规则来建立安全连接。在ipsec.conf省参数中,使用随机数生成器产生一个数字,并保留其16进制前导字符0x。我们需要修改的参数如下:

conn my-tunnel

type=tunnel

left=1.2.3.4

leftnexthop=1.2.3.1

leftsubnet=10.0.0.0/24

right=5.6.7.8

rightnexthop=5.6.7.1

rightsubnet=192.168.0.0/24

spibase=0x200

esp=3des-md5-96

espenckey=0x01234567_89abcdef_02468ace_13579bdf_12345678_9abcdef0

espauthkey=0x12345678_9abcdef0_2468ace0_13579bdf

设置完成后,复制ipsec.donf和ipsec.secrets文件到其他需要使用此安全模式的机器中。剩下的工作就是修改防火墙规则,使其只将数据包转发,而不将其伪装(masquerade)。在服务器1.2.3.4上增加以下规则:

-A forward -p all -j ACCEPT -s 10.0.0.0/24 -d 192.168.0.0/24

-A forward -p all -j ACCEPT -s 192.168.0.0/24 -d 10.0.0.0/24

记住,要确保这些规则在伪装(masquerade)规则之前,如以下所示:

#

# FORWARD RULES

#

ipchains -P forward DENY

#

-A forward -p all -j ACCEPT -s 10.0.0.0/24 -d 192.168.0.0/24

-A forward -p all -j ACCEPT -s 192.168.0.0/24 -d 10.0.0.0/24

-A forward -p all -j MASQ -s 10.0.0.0/24 -d 0.0.0.0/0

在服务器5.6.7.8上重复类似工作:

-A forward -p all -j ACCEPT -s 192.168.0.0/24 -d 10.0.0.0/24

 如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 23 下一页

上一篇:黑客高级技巧 Linux后门技术及实践   下一篇:没有了
文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论

   相关文章:
·IP安全加密 IPSec安全技术全面接触

   文章评论:(1条)
  
 请留名: 匿名评论   点击查看所有评论 论坛讨论
 

 声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。