vpn.txt

linux-bible.rar linux-bible.rar

                         如何设置“虚拟私有网路(VPN)”
                                       
作者: Arpad Magosanyi <mag@bunuel.tii.matav.hu>
译者: 蒋大伟 <dawei@sinica.edu.tw>

   v0.2, 7 August 1997 翻译完成日期: 20 Feb 1999
     _________________________________________________________________
   
   如何建立虚拟私有网路(Virtual Private Network)。
     _________________________________________________________________
   
1. 更正

2. 推荐广告

     * 2.1 版权声明
     * 2.2 免责声明
     * 2.3 郑重声明
     * 2.4 功劳
     * 2.5 本文的现况
     * 2.6 相关文件
       
3. 介绍

     * 3.1 命名惯例
       
4. 开始建置

     * 4.1 规划
     * 4.2 搜集工具
     * 4.3 编译与安装
     * 4.4 其它子系统的设定
     * 4.5 设定 VPN 的使用者帐户
     * 4.6 为 master 帐户，产生一个 ssh key 
     * 4.7 为 slave 帐户，设置自动的 ssh 登入环境。
     * 4.8 加强 ssh 在 bastion 主机上的安全性。
     * 4.9 允许 ppp 的执行，和这两个帐户的路由。
     * 4.10 撰写命令稿程式
       
5. 让我们检视执行的结果：

6. 著手执行。

     * 6.1 登入
     * 6.2 启动 ppp 
     * 6.3 一次完成两个动作
     * 6.4 Pty 的重导功能
     * 6.5 这个装置上面，会有些什麽东西？
     * 6.6 设定路由
       
7. 调整

     * 7.1 设定的调整
     * 7.2 频宽与安全谁重要
       
8. 分析易受攻击的弱点
     _________________________________________________________________
   
1. 更正

   'no controlling tty problem' -> -o 'BatchMode yes' 是由 Zot O'Connor
   <zot@crl.com> 所更正。
   
   核心 2.0.30 的警告讯息，是由 mag 所更正。
   
2. 推荐广告

   这份文件是 Linux VPN howto，它收集了如何在 Linux (以及一般的 UNIX) 上建
   立 一个虚拟保护式网路的相关资讯。
   
2.1 版权声明

   这份文件是 Linux HOWTO 计划的一部分。它的版权声明如下：除非特别说明
   ，Linux HOWTO 文件的版权归属他们各自的作者所有。Linux HOWTO 文件的全部
   或部分，可以 使用任何物理或电子形式的媒体来复制与散布，只要这个版权声明
   被保留在每份拷贝 中。商业行为的再散布是被允许而且受欢迎的；但是，任何的
   散布行为作者都希望能 被告知。所有翻译、衍生的工作、或合并任何 Linux
   HOWTO 文件的聚集工作，都必须 受到这个版权声明的保护。也就是说，你不可以
   从 HOWTO 衍生出一份文件，然後对这 份衍生文件的散布强加上其他限制条件。
   除非在一些特定的状况下，才会允诺这些限制 条件；请联络 Linux HOWTO 的协
   调人，他的地址如下。简而言之，我们希望能够尽可 能透过各种管道，来推动这
   个资讯的散布工作。然而，我们也希望保留 HOWTO 文件的 版权，以及如果有任
   何对 HOWTOs 的再散布计划也希望能够被通知到。如果有任何疑问 ，请联络
   Linux HOWTO 协调人 Tim Bynum，他的电子邮件地址是
   linux-howto@sunsite.unc.edu 。
   
2.2 免责声明

   一如往常：本文对你所造成的任何危害，作者一概不负责任。正确的条文，请参
   阅 GNU GPL 0.1.1 的相关部分。
   
2.3 郑重声明

   我们所面临的是安全性的问题：如果你没有形成一个好的安全策略，以及做好相
   关的配套 措施，你将无法获得真正的安全。
   
2.4 功劳

   感谢所有提供工具程式给本文使用的人仕。
   
   感谢 Zot O'Connor <zot@crl.com> 不仅指正“no controlling tty”的问题，
   而且 还提供了解决方法。
   
2.5 本文的现况

   在阅读本文前，你应该已具备完整的 IP 管理知识，至少要对“防火
   墙(firewall)”、ppp 、和 ssh ，等知识，有一些了解。如果你要设定一个
   VPN 环境，无论如何一定得知道这些 东西。我只是将我的经验写下来 ，以免日
   後忘记相关的内容。所以，我相信一定会有安全 的漏洞存在。为了清楚起见，我
   试著以主机设置为路由器方式，而不是以防火墙的方式，来 说明整个内容，希望
   大家轻轻松松就能够了解本文。
   
2.6 相关文件

     * 档案 /usr/doc/HOWTO/Firewall-HOWTO 上的 Linux Firewall-HOWTO 文件
     * 档案 /usr/doc/HOWTO/PPP-HOWTO.gz 上的 Linux PPP-HOWTO 文件
     * 目录 /usr/doc/ssh/* 中的 ssh 文件
     * Linux “网路管理指引(Network Admins' Guide)”
     * 国家标准及技术委员会 (National Institute Standards and Technology，
       简写为 NIST) 在电脑安全方面的出版品，请参考网址
       http://csrc.ncsl.nist.gov/nistpubs/
     * “防火墙通信论坛(Firewall list)” (majordomo@greatcircle.com)
       
3. 介绍

   由於网路安全问题日益受到重视，所以，防火墙的技术越来越广泛地被应用在，
   网际网路 和“公司内部网路(intranet)”上，防火墙能力的优劣，对 VPN 的安
   全性有著举足轻重的 影响。这只是我个人的体会。欢迎大家提出自己的看法。
   
3.1 命名惯例

   我将会使用到“主防火墙(master firewall)”和“次防火墙(slave firewall)”
   这两个专 有名称，然而，VPN 的建置与主仆式架构之间没有任何关联性。我只是
   把它们看成，两端在 建立连线时，它是个主动的参与者或被动的参与者。发起建
   立连线的主机，会被当作主防火 墙；然而，被动的参与者，就会被当作次防火墙
   。
   
4. 开始建置

4.1 规划

   在你开始设定系统前，你应该要先了解一下网路连接的细节。现在，我假定你有
   两个防火墙 ，各保护一个公司内部网路。所以，现在每个防火墙应该会有两个网
   路界面（至少）。拿一 张纸，写下它们的 IP 位址和网路遮罩。每个 VPN 的防
   火墙，将会使用到数个 IP 位址区 段。这些 IP 位址区段，应该设定在你公司现
   有的子网路的□围以外。我建议使用“私有” IP 位址区段的□围。如下所示：
   
     * 10.0.0.0 - 10.255.255.255
     * 172.16.0.0 - 172.31.255.255
     * 192.168.0.0 - 192.168.255.255
       
   为了说明，此处我举了一个设定的案例：有两台 bastion [译注] 主机，分别被
   称为 fellini 和 polanski。它们各有一个界面连接网际网路 (-out)，一个界面
   连接公司内部网路 (-in) ，以及，一个界面连接 VPN (-vpn)。所有的 IP 位址
   和网路遮罩，如下：
   
     * fellini-out: 193.6.34.12 255.255.255.0
     * fellini-in: 193.6.35.12 255.255.255.0
     * fellini-vpn: 192.168.0.1 点对点
     * polanski-out: 193.6.36.12 255.255.255.0
     * polanski-in: 193.6.37.12 255.255.255.0
     * polanski-vpn: 192.168.0.2 点对点
       
   译注： bastion 是指暴露在公司网路外部的防火墙闸道。
   
   所以我们有个计划。
   
4.2 搜集工具

   你将会需要
     * Linux 防火墙
     * 核心
     * 非常少的设定
     * ipfwadm 程式
     * fwtk 程式
     * VPN 所使用的工具
     * ssh 程式
     * pppd 程式
     * sudo 程式
     * pty-redir 程式
       
   目前使用的版本：
     * 核心： 2.0.29 。请使用稳定的核心，而且，必须比 2.0.20 还新，因为
       ping'o'death 的错误。在撰写本文时，最後一个稳定的核心是版本 2.0.30
       ，但是它有一些错误。如果 ，你想要使用最新版核心所提供，既快又酷的网
       路程式码，你自己可以尝试看看，版本 2.0.30 对我而言，已经很好用了。
     * 基本的作业系统：我比较喜欢 Debian 所发行的版本。你绝对使用不到任何
       大型的 软体套件，当然，也包含 sendmail 在内。你也绝对不能像其它的
       UNIX 主机一样，允许 telnet、ftp、和 'r' 命令，等功能的使用。
     * ipfwadm 程式： 我使用的是 2.3.0。
     * fwtk 程式： 我使用的是 1.3。
     * ssh 程式： >= 1.2.20。较旧的版本，下层的协定会有问题。
     * pppd 程式： 我测试的是 2.2.0f，但是我无法确定它是否安全，这就是为什
       麽我会 将它的 setuid 位元拿掉，并透过 sudo 来执行它的原因。
     * sudo 程式： 我所知道的最新版本是 1.5.2。
     * pty-redir 程式： 这是我写。请至
       ftp://ftp.vein.hu/ssa/contrib/mag/pty-redir-0.1.tar.gz 取得。现在的
       版本是 0.1 。如果使用上有任何问题，请来信告知。
       
4.3 编译与安装

   你现在的工作不是编译就是安装所搜集到的工具。 并参阅其（以及
   firewall-howto） 详细的说明文件。现在，我们已经安装好这些工具了。
   
4.4 其它子系统的设定

   设定防火墙以及其它的项目。你必须在两台防火墙主机之间，允许 ssh 资料的流
   通。这 是指，主防火墙会有网路连线到次防火墙的埠 22。在次防火墙上启动
   sshd，来验证是否 允许你“登入(login)”。这个步骤尚未测试过，请告诉我你
   的测试结果。
   
4.5 设定 VPN 的使用者帐户

   以你日常使用的工具（例如，vi、mkdir、chown、chmod）在次防火墙上建立一个
   使用者帐 户，你也可以在主防火墙上建立一个使用者帐户，但是，我认为在开机
   阶段设定连线就可以 了，所以，使用原始的 root 帐户就已足够。有任何人可以
   为我们说明一下，在主防火墙上 使用 root 帐户，会有什麽危险性？
   
4.6 为 master 帐户，产生一个 ssh key

   你可以使用 ssh-keygen 程式。如果，你要自动设置 VPN，你可以设定一个没有
   密码的 “私人钥匙(private key)”。
   
4.7 为 slave 帐户，设置自动的 ssh 登入环境。

   在次防火墙中，复制你刚才产生的“公共钥匙(public key)”到，使用者帐户
   slave 中 的 .ssh/authorized_keys 档案里，并且，设定档案的使用权限，如下
   ：