FreeBSD handbook中文版 10 安全(11)

自从FreeBSD 4.0 以来，OpenSSL 工具包已经成为基本系统的一部分了。OpenSSL 提供
了一个普通的密码库，就象安全套接层v2/v3 (SSLv2/SSLv3)，和传输层安全v1(TLSv1)网
络安全协议。
然而，包含在openssl 中的某些加密算法(特别是IDEA)被USA 加以限制了，它不能不
受限制地使用。在FreeBSD 中，IDEA 被包含在openssl 的源代码中，但它默认情况下没有
被构建。如果你想使用，你需要照着许可条款来操作，在/etc/make.conf 中启用MAKE_IDEA，
然后重新建构整个系统。
今天，RSA 算法被自由使用在美国和其他国家。在过去它是受保护的。
10.8.1 源代码安装
OpenSSL 是src-crypto 和src-secure cvsup collections 的一部分。可以看看获得
FreeBSD 那节了解更多有关获得和升级FreeBSD 源代码的信息。
10.9 IPsec
IPsec 机制提供了IP 层与socket 层之间安全的通讯方式。这节将介绍如何使用它们。
有关执行细节，请参考开发人员手册。
第40 页FreeBSD 使用手册
当前的IPsec 执行模式既支持传输模式也支持隧道模式。但隧道模式有一些限制。在
http://www.kame.net/newsletter/上有比较详细的例子：
为了使用这个功能，请保持清醒，你必须将下面这些选项编译进内核：
options IPSEC #IP security
options IPSEC_ESP #IP security (crypto; define w/IPSEC)
10.9.1 基于IPv4 的传输模式例子
让我们设置一个安全的连接以便在主机A (10.2.3.4)和主机B (10.6.7.8)之间配置一
个安全的通道。这儿列出了几个复杂的例子。从主机A 到主机B ，只有老的AH 可以被使用。
从主机B 到主机A，新的AH 和新的ESP 将被结合起来。
现在，我们必须选择一个算法以用来适应"AH"/"new AH"/"ESP"/"new ESP"。请参考
setkey 的联机手册了解算法的命名。我们的选择是对AH 用MD5，对新AH 用new-HMAC-SHA1，
对新ESP 用带有8 位的new-DES-expIV。
关键字的长度依赖于每个算法。例如，关键字的长度对于MD5 需要用16 位，对于
new-HMAC-SHA1 需要用20 位，对于new-DES-expIV 需要用8 位。现在我们分别选择
"MYSECRETMYSECRET", "KAMEKAMEKAMEKAMEKAME", "PASSWORD"。
好的，让我们为每个协议分派一个SPI(Security Parameter Index)。请注意我们需要
为这个安全通道设计3 个SPIs，因为产生了三个安全headers。(one for from HOST A to HOST
B, two for from HOST B to HOST A)。另外，你也要注意SPI 必须要超过或等于256。我
们依次选择1000, 2000 和3000。
(1)
HOST A ------> HOST B
(1)PROTO=AH
ALG=MD5(RFC1826)
KEY=MYSECRETMYSECRET
第41 页SPI=1000
(2.1)
HOST A <------ HOST B
<------
(2.2)
(2.1)
PROTO=AH
ALG=new-HMAC-SHA1(new AH)
KEY=KAMEKAMEKAMEKAMEKAME
SPI=2000
(2.2)
PROTO=ESP
ALG=new-DES-expIV(new ESP)

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有