敬业的IT人 >> 操作系统 >> FreeBSD >> FreeBSD handbook中文版 10 安全

FreeBSD handbook中文版 10 安全

敬业的IT人 互联网 佚名 2008-1-3 10:44:13

讨论组:
就象上面提到的,这些只是guidelines (建议/ 指导原则)。你必须根据你的具体情况决
定使用什么过滤规则。如果有人侵入了你的网络,我们不承担任何责任,即使你按照了上面
提到的方法做了。
10.8 OpenSSL
自从FreeBSD 4.0 以来,OpenSSL 工具包已经成为基本系统的一部分了。OpenSSL 提供
了一个普通的密码库,就象安全套接层v2/v3 (SSLv2/SSLv3),和传输层安全v1(TLSv1)网
络安全协议。
然而,包含在openssl 中的某些加密算法(特别是IDEA)被USA 加以限制了,它不能不
受限制地使用。在FreeBSD 中,IDEA 被包含在openssl 的源代码中,但它默认情况下没有
被构建。如果你想使用,你需要照着许可条款来操作,在/etc/make.conf 中启用MAKE_IDEA,
然后重新建构整个系统。
今天,RSA算法被自由使用在美国和其他国家。在过去它是受保护的。
10.8.1 源代码安装
OpenSSL 是src-crypto 和src-secure cvsup collections 的一部分。可以看看获得
FreeBSD 那节了解更多有关获得和升级FreeBSD 源代码的信息。
10.9 IPsec
IPsec 机制提供了IP 层与socket 层之间安全的通讯方式。这节将介绍如何使用它们。
有关执行细节,请参考开发人员手册。
第40 页FreeBSD 使用手册
当前的IPsec 执行模式既支持传输模式也支持隧道模式。但隧道模式有一些限制。在
http://www.kame.net/newsletter/上有比较详细的例子:
为了使用这个功能,请保持清醒,你必须将下面这些选项编译进内核:
options IPSEC #IP security
options IPSEC_ESP #IP security (crypto; define w/IPSEC)
10.9.1 基于IPv4的传输模式例子
让我们设置一个安全的连接以便在主机A (10.2.3.4)和主机B (10.6.7.8)之间配置一
个安全的通道。这儿列出了几个复杂的例子。从主机A 到主机B ,只有老的AH 可以被使用。
从主机B 到主机A,新的AH 和新的ESP 将被结合起来。
现在,我们必须选择一个算法以用来适应"AH"/"new AH"/"ESP"/"new ESP"。请参考
setkey 的联机手册了解算法的命名。我们的选择是对AH 用MD5,对新AH 用new-HMAC-SHA1,
对新ESP 用带有8 位的new-DES-expIV。
关键字的长度依赖于每个算法。例如,关键字的长度对于MD5 需要用16 位,对于
new-HMAC-SHA1 需要用20 位,对于new-DES-expIV 需要用8 位。现在我们分别选择
"MYSECRETMYSECRET", "KAMEKAMEKAMEKAMEKAME", "PASSWORD"。
好的,让我们为每个协议分派一个SPI(Security Parameter Index)。请注意我们需要
为这个安全通道设计3 个SPIs,因为产生了三个安全headers。(one for from HOST A to HOST
B, two for from HOST B to HOST A)。另外,你也要注意SPI 必须要超过或等于256。我
们依次选择1000, 2000 和3000。
(1)
HOST A ------> HOST B
(1)PROTO=AH
ALG=MD5(RFC1826)
KEY=MYSECRETMYSECRET
第41 页SPI=1000
(2.1)
HOST A <------ HOST B
<------
(2.2)
(2.1)
PROTO=AH
ALG=new-HMAC-SHA1(new AH)
KEY=KAMEKAMEKAMEKAMEKAME
SPI=2000
(2.2)
PROTO=ESP
ALG=new-DES-expIV(new ESP)
I进入讨论组讨论。

粤ICP备06119539号
Copyright CiscoSky.Org,Some Rights Reserved.
Email:me1228#tom.com