ipsec linux 思科ipsec配置实例
大家好,今天来为大家分享ipsec linux的一些知识点,和思科ipsec配置实例的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧!
如何在Ubuntu下配置L2TP VPN
安装软件包
1.sudo apt-get install xl2tpd openswan ppp
IPSec/ Openswan
打开/etc/ipsec.conf文件,做如下配置:
1.config setup
2.nat_traversal=yes
3.virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24
4.#这里包含的网络地址允许配置为远程客户端所在的子网。换句话说,
#这些地址范围应该是你的NAT路由器后面的客户端的地址。
5.oe=off
6.protostack=netkey
7.conn L2TP-PSK-NAT
8.rightsubnet=vhost:%priv
9.also=L2TP-PSK-noNAT
10.conn L2TP-PSK-noNAT
11.authby=secret
12.pfs=no
13.auto=add
14.keyingtries=3
15.rekey=no
16.# Apple的 iOS不会发送 delete提醒,
#所以我们需要通过死亡对端(dead peer)检测来识别断掉的客户端
17.dpddelay=30
18.dpdtimeout=120
19.dpdaction=clear
20.#设置 ikelifetime和 keylife和 Windows的默认设置一致
21.ikelifetime=8h
22.keylife=1h
23.type=transport
24.#替换 IP地址为你的本地IP(一般是,私有地址、NAT内的地址)
25.left=x.x.x.x
26.#用于升级过的 Windows 2000/XP客户端
27.leftprotoport=17/1701
28.#要支持老的客户端,需要设置 leftprotoport=17/%any
right=%any
29.rightprotoport=17/%any
30.#强制所有连接都NAT,因为 iOS
31.forceencaps=yes
注意你的ipsec.conf文件,"config setup"和"L2TP-PSK-NAT"、"L2TP-PSK-NAT"应该顶着行头写,而其它行应该以8个空格缩进。
打开/etc/ipsec.secrets,配置:
1.x.x.x.x%any: PSK"somegoodpassword"
这里x.x.x.x替换为你的服务器的IP地址,并设置一个复杂的密码。
启动 IPSEC服务:
1./etc/init.d/ipsec start
使用如下命令确认 ipsec是否工作正常:
1.sudo ipsec verify
应该没有任何错误才行:
1.Checking your system to see ifIPsec got installed and started correctly:
2.Version check and ipsec on-path [OK]
3.LinuxOpenswan U2.6.28/K2.6.32-32-generic-pae(netkey)
4.CheckingforIPsec support in kernel [OK]
5.NETKEY detected, testing for disabled ICMP send_redirects [OK]
6.NETKEY detected, testing for disabled ICMP accept_redirects [OK]
7.Checking that pluto is running [OK]
8.Pluto listening for IKE on udp 500[OK]
9.Pluto listening for NAT-T on udp 4500[OK]
10.Checkingfor'ip' command [OK]
11.Checkingfor'iptables' command [OK]
12.OpportunisticEncryptionSupport[DISABLED]
在/etc/init.d下创建一个名为 ipsec.vpn的文件,内容如下:
1.case"$1"in
2.start)
3.echo"Starting my Ipsec VPN"
4.iptables-t nat-A POSTROUTING-o eth0-s 10.152.2.0/24-j MASQUERADE
5.echo 1>/proc/sys/net/ipv4/ip_forward
6.for each in/proc/sys/net/ipv4/conf/*
7.do
8.echo 0>$each/accept_redirects
9.echo 0>$each/send_redirects
10.done
11./etc/init.d/ipsec start
12./etc/init.d/xl2tpd start
13.;;
14.stop)
15.echo"Stopping my Ipsec VPN"
16.iptables--table nat--flush
17.echo 0>/proc/sys/net/ipv4/ip_forward
18./etc/init.d/ipsec stop
19./etc/init.d/xl2tpd stop
20.;;
21.restart)
22.echo"Restarting my Ipsec VPN"
23.iptables-t nat-A POSTROUTING-o eth0-s 10.152.2.0/24-j MASQUERADE
24.echo 1>/proc/sys/net/ipv4/ip_forward
25.for each in/proc/sys/net/ipv4/conf/*
26.do
27.echo 0>$each/accept_redirects
28.echo 0>$each/send_redirects
29.done
30./etc/init.d/ipsec restart
31./etc/init.d/xl2tpd restart
32.;;
33.*)
34.echo"Usage:/etc/init.d/ipsec.vpn{start|stop|restart}"
35.exit 1
36.;;
37.esac
这会配置防火墙转发。记得修改上面文件的本地IP地址池10.152.2.0/24为你自己的。
然后给这个文件设置可执行权限:
1.sudo chmod 755 ipsec.vpn
禁止默认的 ipsec服务脚本运行:
1.sudo update-rc.d-f ipsec remove
然后,启用我们刚才定制的这个:
1.sudo update-rc.d ipsec.vpn defaults
如何查看ipsec/l2tpd 服务器的证书认证模式
什么是 IPsec?
IPsec是虚拟私密网络(VPN)的一种,用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成,第一阶段(Phrase 1, ph1),交换金钥建立连接,使用互联网金钥交换(ike)协议;第二阶段(Phrase 2, ph2),连接建立后对数据进行加密传输,使用封装安全载荷(esp)协议。参考:维基百科 IPsec词条。
其中,第一阶段和第二阶段可以使用不同的加密方法(cipher suites)。甚至,第一阶段 ike协议的第一版(ikev1)有两种模式,主力模式(main mode)和积极模式(aggressive mode),主力模式进行六次加密握手,而积极模式并不加密,以实现快速建立连接的目的。
第一阶段的 ike协议有两个版本(ikev1/ikev2),不同的开源/闭源软件实现的版本均不同,不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法,使得 IPsec的配置有点黑魔法的性质,要么完全懂,通吃;要么完全不懂,照抄。
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike版本及其特殊要求。
Linux
命令行客户端就是 strongswan本身,因此完美兼容,支持 ikev1/ikev2和所有加密方法的连接。因此如果用户只使用 Linux命令行客户端,不使用各种移动设备也不使用 Windows,那么完全没有那么多事。
但 Linux的图形界面客户端 NetworkManager-strongswan目前只支持 ikev2连接,必须使用证书或 EAP(各种加密方法都支持,包括微软的 MSCHAPv2)进行认证,不支持纯密码(PSK)认证。这并不是 strongswan的错误,或者技术不行(开源总是走在技术最前沿的,毕竟命令行是支持的),而仅仅是体现一种选择:ikev1被 strongswan项目认为是该淘汰的协议,而 PSK加密被认为是非常不安全的。参考 strongswan维基 NetworkManager词条。
Android
Android和 Linux不一样,只支持 ikev1。其它方面和 Linux一样,甚至有好多种 IPsec VPN配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec客户端为 Cisco,实际为自己修改的 racoon。它只支持 ike协议的第一版即 ikev1,可以使用证书或纯密码(PSK)认证,但必须辅之 xauth用户名/密码认证。
该修改版的 racoon会优先使用不加密的积极模式,而积极模式是 strongSwan所不支持的。所以要使用主力模式。
iOS 6还有一个「衔尾」故障:它在第一阶段握手时会把数据包拆分成小块(fragmentation),然后「加密」发送。然而这种加密仅仅是声明的,其实并未加密,这就导致 strongSwan及其它标准服务器端/Cisco设备无法解密。另外 ikev1的 fragmentation插件是闭源的。开源服务器端无法对这些小块进行重组。参考:Cisco VPN stop working after upgrading to IOS 6
IPSEC不能做到ipsec不支持抗ddos
网络安全工程师好就业吗?
一、网络安全工程师就业前景:就业前景广阔、优秀人员紧缺。面对我国人口结构及就业形式,在金融危机来袭的当下,求职就业之路虽说充满荆棘和坎坷,通过各大招聘网站的数据表明,薪酬待遇:网络安全工程师一般薪水是4000-8000元,经验丰富的专业人士可以达到年薪20万左右。二、从业要求:1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验;2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。3、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置;4、熟悉windows或linux系统,精通php/shell/perl/python/c/c++等至少一种语言;5、了解主流网络安全产品(如fw、ids、scanner、audit等)的配置及使用;6、善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神;
网络安全工程师需要会哪些东西?
1、分析网络现状。对网络系统进行安全评估和安全加固,设计安全的网络解决方案;2、在出现网络攻击或安全事件时,提高服务,帮助用户恢复系统及调查取证;3、针对客户网络架构,建议合理的网络安全解决方案;4、负责协调解决方案的客户化实施、部署与开发,推定解决方案上线;5、负责协调公司网络安全项目的售前和售后支持。这些基本上都是一个合格的网络工程师要掌握的。另外还有一些对于就业的要求:1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验;2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。3、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置;4、熟悉windows或linux系统,精通php/shell/perl/python/c/c++等至少一种语言;5、了解主流网络安全产品{如fw(firewall)、ids(入侵检测系统)、scanner(扫描仪)、audit等}的配置及使用;6、善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神;
网络安全工程师都需学哪些啊?
网络安全工程师学习内容及从业要求:
1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验;
2、精通网络安全技术:包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。
3、熟悉tcp/ip协议,熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置;
4、熟悉windows或linux系统,精通php/shell/perl/python/c/c++等至少一种语言;
5、了解主流网络安全产品{如fw(firewall)、ids(入侵检测系统)、scanner(扫描仪)、audit等}的配置及使用;
6、善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神;网络安全工程师:随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。工作内容:1、分析网络现状。对网络系统进行安全评估和安全加固,设计安全的网络解决方案;2、在出现网络攻击或安全事件时,提高服务,帮助用户恢复系统及调查取证;3、针对客户网络架构,建议合理的网络安全解决方案;4、负责协调解决方案的客户化实施、部署与开发,推定解决方案上线;5、负责协调公司网络安全项目的售前和售后支持。
