中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Linux > LinuxUnix安全
IP安全加密 IPSec安全技术全面接触(4)
作者:佚名 时间:2007-08-25 21:53 出处:中国IT实验室 责编:月夜寒箫
              摘要:IP安全加密 IPSec安全技术全面接触(4)
自动密钥连接 (Automatic connection keying)

对于一个商业应用来说,使用手工(固定)密钥是不安全和不可靠的。在自动密钥连接模式下产生一个256位共享密钥,将其复制到连接通道的各个节点上后,那些企图截取数据包的网络攻击者将很难攻破这种安全连接。在自动密钥连接模式下,一个密钥的有效期是8个小时,这种配置有效地阻止了那些企图用暴力法猜出密钥的攻击者。下面我们在前一个例子的基础上建立自动密钥连接配置:

ipsec.conf文件中编辑通道配置,如下例: 
conn my-tunnel
            type=tunnel
            left=1.2.3.4
            leftnexthop=1.2.3.1
            leftsubnet=10.0.0.0/24
            right=5.6.7.8
            rightnexthop=5.6.7.1
            rightsubnet=192.168.0.0/24
            keyexchange=ike
            keylife=8h
            keyingtries=0
然后启动pluto守护进程。在通道的另一端连接pluto守护进程以建立一个连接。需要提醒的是,因为pluto守护进程运行在端口500/UDP,你需要在防火墙开一个"洞"使数据包能够顺利通过: 
-A input -p udp -j ACCEPT -s 0.0.0.0/0 -i eth0 -d 0.0.0.0/0 500
使用"%search"关键字比列出要建立的通道清单更方便。方法如下:在每一个通道配置中增加一行: 
auto=start
编辑ipsec.secrets文件: 
plutoload=%search
            plutostart=%search
如果一切正常,/var/log/messages中将有类似如下记录: 
Oct 16 02:10:41 server ipsec_setup:

            

            Starting FreeS/WAN IPSEC……
            Oct 16 02:10:41 server ipsec_setup:

            

            /usr/local/lib/ipsec/spi: message size is 28.
            Oct 16 02:10:41 server ipsec_setup:

            

            KLIPS debug `none'
            Oct 16 02:10:41 server ipsec_setup:

            

            KLIPS ipsec0 on eth0 1.2.3.4/255.255.255.0 broadcast
而在/var/log/secure文件中将有类似如下记录: 
Oct 16 02:10:42 server Pluto[25157]: 

            

            Starting Pluto (FreeS/WAN Version snap1999Jun14b)
            Oct 16 02:10:44 server Pluto[25157]: 

            

            added connection description "my-tunnel"
            Oct 16 02:10:44 server Pluto[25157]: 

            

            listening for IKE messages
            Oct 16 02:10:44 server Pluto[25157]: 

            

            adding interface ipsec0/eth0 1.2.3.4Jun 26 02:10:44 server
用命令ipsec look查看信息: 
Destination GateWay Genmask Flags Mss Window irtt Iface
            0.0.0.0 192.168.0.0 0.0.0.0 US 40 0 0 eth0
            192.168.0.0 0.0.0.0 255.255.255.0 U 40 0 0 eth0
            192.168.0.0 0.0.0.0 255.255.255.0 U 40 0 0 ipsec0
            11.2.3.0 0.0.0.0 255.255.255.0 U 40 0 0 lo
在/proc/net/route查看路由表时: 
Destination Gateway Genmask Flags Metric Ref Use Iface
            1.2.3.4 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
            11.2.3.0 0.0.0.0 255.255.255.0 U 0 0 0 lo
            1.2.3.0 0.0.0.0 255.255.255.0 U 0 0 0 ipsec0
            192.168.0.0 1.2.3.1 255.255.255.0 UG 0 0 0 ipsec0
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有