当前位置:文档之家› Window系统中IPSec协议配置及数据包分析要点

Window系统中IPSec协议配置及数据包分析要点

一、传输模式的实现

1.启动vmware,建立两个windows server 2003虚拟机

2.

IP1:192.168.72.128 IP2:192.168.72.13

2. 新建本地安全策略 IP安全策略-1(用作IPSec传输模式)

1

3编辑安全策略-1的属性,新建IP安全规则

4.设置安全规则的模式(传输模式)

5.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表

7.设置源地址为我的IP地址,目标地址为192.168.72.131

8添加筛选器操作,选用不同的加密模式

9.设置共享密钥的密码。

10.完成,设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息

11.完成后,指派当前的安全策略。

12.在另一台机器上新建安全策略,将源地址和目标地址分别设为本机和192.168.72.128,设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相通

不指派查看结果

.

13.

14.指派一方IP策略查看结果

15.双方指派IP策略查看结果

二、隧道模式的实现

1.添加两个筛选器列表

2.采用同样的方式设置筛选器列表in和筛选器列表out的操作

3.不同的地方是,指定IP为192.168.72.128,out策略的隧道终点的IP地址为192.168.72.131

4. In策略的隧道终点为本身IP,指定IP为192.168.72.131,out策略的隧道终点的IP地址为192.168.72.128 In策略的隧道终点为本身IP

5.

6.同时设置筛选器目标地址和源地址的IP

规则:

IP:192.168.72.128 筛选器out 源地址:本身目标地址:192.168.72.131

筛选器in 源地址:192.168.72.131 目标地址:本身IP:192.168.72.131 筛选器out 源地址:本身目标地址:192.168.72.128

筛选器in 源地址:192.168.72.128 目标地址:本身

指派双方的安全策略,查看结

二. 抓包分析isakmp协议过程

A. 第一阶段主模式原理分析

MM 模式下:6个包1-2包:双方互相提供可以实现的isakmp参数,包括以下内容1-2 包:双方互相提供可以实现的Isakmp参数包括下面的内容

1 对端ip

2 authentication 方式:presharekey CA 等

3 加密类型des 3des aes

4 hash md

5 sha-1

5 DH 1,2.7

3-4 包通过DH算法产生可以密钥

1 给isakmp phase 1 阶段使用

2 给ISakmap phase2 阶段使用

5-6 包验证对等体的身份,建立isakmp sa

1 共享密钥

2 CA

3 NO-nonce

MM模式下要配置参数在

1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥

2 authentication 方式:presharekey CA 等

3 加密类型des 3des aes

4 hash md

5 sha-1

5 DH 1,2.7

第1-2个数据包

1.作用

(1)通过数据包源地址确认对端体的和合法性。

(2)协商IKE策略

2.第一个包的格式

通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KEY 密码 address IP 中的IP 是否相等验证合法性。相等就接收设个包,不相等就丢弃。

通过上图可以看出,模式是主模式,载荷类型是SA,数目是一个,内容是IKE策略。

3.第二个包

通过上面的图可以看出是协商后的策略。第3-4个数据包

1.作用

(1)通过协商DH产生第一阶段的密码。

2 第三个包格式

从上图可看出模式主模式,载荷类型是密钥交换和厂商载荷。

说明:

DH是一种非对称密钥算法,基于一个知名的单项函数,A=Ga mode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易,反之基本不可能。关于这个算法详情可以参考网络上的相关文章。

IPSEC就是通过这种方式,协商密钥的。有了这个秘密就可以通过衍生算法得到密钥和HMAC吃了IKE的密钥,感兴趣的密钥也从这个密钥衍生出来的,所以说这个密钥是IPSEC的始祖。

3.第四个包基本这第三个相同

第5-6个数据包

1.作用

这个过程主要任务是认证。(通过1-2和3-4的协商已经具备策略和密钥所以这个阶段已经在安全环境中进行了)

2.第五个包的格式

从上图可以看出,模式只主模式,载荷联系身份认证,FLAGS这个开源参考IETF IP 安全标识数据的特定细节。(这些已经比较难了)

3.第六个包格式

说明此文档只是验证了共享密钥的验证方法,证书验证在以后的文章中给出。第二阶段快速模式3个包

●1 对MM模式的IKE参数做加密验证

●2 交换IPSEC 转换集—transformer-set

●3 接受者确认发起者提出的参数,并建立ipsec sa

1.作用

●在安全的环境中协商处理感兴趣流的策略。

●主要包括:

相关主题