Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析_第1頁(yè)
Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析_第2頁(yè)
Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析_第3頁(yè)
Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析_第4頁(yè)
Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、一、傳輸模式的實(shí)現(xiàn)1.啟動(dòng)vmware建立兩個(gè) windows server 2003 虛擬機(jī)q Typa h«>rp-13 |004| Q.I g M i / Myi . !A:-nd«3Wva S.rwr 2003 £t»ndiird Edition i ? 'A ndcvYa Svmr JlDCkl 占E,rdlaind Esdififfl-i 2 W-ndwvk XP wcrftinio".二 JT W加2.蠟小面高二S而IP1:192.168.72.128IP2:192.168.72.132.新建本地安全策略IP安全策略

2、-1 (用作IPSec傳輸模式)3編輯安全策略-1的屬性,新建IP安全規(guī)則4.設(shè)置安全規(guī)則的模式(傳輸模式)5.設(shè)置對(duì)所有網(wǎng)絡(luò)連接都是用這個(gè)安全策略新建并設(shè)置IP 篩選器列表7.設(shè)置源地址為我的IP 地址,目標(biāo)地址為192.168.72.1318添加篩選器操作,選用不同的加密模式9.設(shè)置共享密鑰的密碼。10 .完成,設(shè)置剛剛創(chuàng)建的規(guī)則為當(dāng)前IP 策略的規(guī)則查看當(dāng)前規(guī)則的基本信息11 .完成后,指派當(dāng)前的安全策略。12 .在另一臺(tái)機(jī)器上新建安全策略,將源地址和目標(biāo)地址分別設(shè)為本機(jī)和192.168.72.128,設(shè)置篩選器操作以及共享密鑰必須跟第一臺(tái)機(jī)器上的設(shè)置完全 相通不指派查看結(jié)果13.14.

3、指派一方IP 策略查看結(jié)果15. 雙方指派IP 策略查看結(jié)果1.、隧道模式的實(shí)現(xiàn)添加兩個(gè)篩選器列表2 .采用同樣的方式設(shè)置篩選器列表in 和篩選器列表out 的操作3 .不同的地方是,指定 IP 為192.168.72.128, out 策略的隧道終點(diǎn)的IP 地址為 192.168.72.1314 . In策略的隧道終點(diǎn)為本身IP,指定IP為192.168.72.131 , out策略的隧道終點(diǎn)的IP地址為 192.168.72.128 In 策略的隧道終點(diǎn)為本身IP5.6.同時(shí)設(shè)置篩選器目標(biāo)地址和源地址的IP規(guī)則:IP: 192.168.72.128篩選器out篩選器in源地址:本身目標(biāo)地址

4、:源地址:192.168.72.131192.168.72.131目標(biāo)地址:本身IP: 192.168.72.131篩選器out源地址:本身目標(biāo)地址:192.168.72.128篩選器in源地址:192.168.72.128 目標(biāo)地址:本身目標(biāo)地址:本身指派雙方的安全策略,查看結(jié)二 . 抓包分析isakmp 協(xié)議過(guò)程A. 第一階段主模式原理分析MM 模式下:6個(gè)包 1-2包:雙方互相提供可以實(shí)現(xiàn)的isakmp參數(shù),包括以下內(nèi)容1-2包:雙方互相提供可以實(shí)現(xiàn)的Isakmp參數(shù) 包括下面的內(nèi)容1對(duì)端ip2 authentication 方式:presharekey CA 等3加密類型 des 3d

5、es aes4 hash md5 sha-15 DH 1,2.73-4包通過(guò)DH算法產(chǎn)生可以密鑰1給isakmp phase 1階段使用2給ISakmap phase2階段使用5-6包驗(yàn)證對(duì)等體的身份,建立isakmp sa1共享密鑰2 CA3 NO-nonceMM模式下要配置參數(shù)在1 cryipsec isakmp key cisco address X.x.X.X-酉己置共享密鑰2 authentication 方式:presharekey CA 等3 加密類型 des 3des aes4 hash md5 sha-15 DH 1,2.7第1-2個(gè)數(shù)據(jù)包1 .作用(1)通過(guò)數(shù)據(jù)包源地址確認(rèn)

6、對(duì)端體的和合法性。(2)協(xié)商IKE策略2 .第一個(gè)包的格式5.0000000 10.0.0.110.0,0.?I5AKXP190Idefltity Protection (Main Mode通過(guò)比較收到的數(shù)據(jù)包的源地址和本端配置的CRYPTO ISAKMP KE睹碼address IP中的IP是否相等驗(yàn)證合法性。相等就接收設(shè)個(gè)包,不相等就丟棄。inter net sccur 1 ty assocI at 1 on and ktjy HanagcjnKni ProtocDl initlatGr cookic: cf0232 6T14a9Sb93 口號(hào)p0r4” cookie: Q(IOflDOD

7、OOQOOOO(X!%¥鼻七 paylcidd; 5scyrity ag,口匚inn (1) i 瘧 fion:1一。|R-charigE 工VP1:工dEirrtlty Rrcit擔(dān)cr"l口口 Eadn rcicc)Message ID: 0x0DODOJ00Lgth! 148h yypg pjy I cjjtJFHCur i ty Asbci dt lorf (1 j |payioaa: vendor id(13)Payload length:MDomain of interpretation: IPSEC (1)歷 Situation; QOOODOOlF Type

8、 Pay!osd: Props十(?)# 1Next payload: NKDNE / hlo Nxt Pay load (0pay load leEngthipromos al imunib&r: 1Protocol ID; I5AKMP 1)SPI size* 0Proposal transferms: 1F Typf PJiyload; Trnsifern (?) - 1payload:: none. / mq n«xi Piyload (;)司Tr anstarnIKEAttribute Type代=1J=2JEncrypt!on-A gorithirt ; AE5-

9、CBC31Tr am5巾TKEAt tr1butv Type(t=14 J=2)Uty-L ijliyth : 128±Trdrtsfur'riI KtAicr1bul電 Typ電(1=2 p1t2)HM7】gur im : skaTr anifomIKEAfcrlbuTC Type(t-JJ J-2)G”Mp Dftscrlptfan : ucfaulx '6e sir Mct> group7Trwn5f口rmIKEAttribute TypeAuthcntication Method : F5K司T” an肝-riTKFAttribure Type:11t&

10、quot;=1 1 J 二r )1 iff-Tpe t SernnriiTbAnqfnrrr Tn: KFY TKFTransform nuntierPmyloQ length: 40通過(guò)上圖可以看出,模式是主模式,載荷類型是 SA,數(shù)目是一個(gè),內(nèi)容是IKE策略。3 .第二個(gè)包liilRrrlHl iemr lly asAUcljLlur *'d M*r *9111111 Pr口Linitiator cookie: cfO2J25fiia95bsJResponder cooki e : 18alOfS9219eMfNext pavl cfld : 5ecur i t y ds手口匚&q

11、uot;i mt"i 口口 (1) vers ion: 1.oekc1rlange type: Id史ntpy Fr口七已:in (MaJn /qdeli 2:)t flags: oxao岫芒士士看乎 IO: OjcOOOO&OOOLength: IQ遇一|Typ& Puylnaid; Security 45%口匚itrd口門(5npkt payload: vendor id (13payloid length: &oDorain of int erpret all on: jPStC (1)Z Situation: OOOOOOT1Type Fay 1 oa

12、d t Pir oposal (2)# 1Next pay! mad : 3忖k - Mu Ntxt Bay】ud (0)Payload IcngTh: 4BProposal nuuhi史廣:1Protocol id: 丁saktp (1)SPI Size: 0Proposal transferT5: 1F Type Payload: Transform (B)用 1Nwzt. paylEJid: Ncbik :ptayload (0)Payl oad lengcti: 40Tranf rurn nurhf-r : 1Transforii im Trails font i« Tron

13、sforn 庫(kù) Transforn t± Trarsforra ii rrarfarnTramEID: IKt _K. 工KE TKE 1K£ IKE IKEKEY.TKE t Atirfbuce AElbus AttributP Att r i but gAttributeAttribute第uee電史史-Zj Encrypi1on«AJgorixhti : ajes-c&c(T*L4.1*Z) Key-LengTh : IZH(t=?BT=2) Hash-Algorithm : 5HA(t=4-, 1 =2 J Group -Descript i on

14、 : Default 76E -b i t 廿門口戶 group(t - J a 1 -2) AJJ£h HT1 cat 1 O r -M £t h Dd : PSK(t-lib1-2) Llf« Type : seconds(r-12.I) Lif«-DuratTon - 1通過(guò)上面的圖可以看出是協(xié)商后的策略第3-4個(gè)數(shù)據(jù)包1 .作用(1)通過(guò)協(xié)商DH產(chǎn)生第一階段的密碼。2第三個(gè)包格式EJ internet security Association and Key Management protocol initiator cookie: cf0232

15、6f14a95b51 Responder cookie: 18al09f89219Sdf Next payload: Key Exchange (4) Version 1 1.0Exchange type: identity Prorectior (Main Mode) (2)E Fl mg寫(xiě);0x00Message ID:。必000000ULength; 272Type pyload: Key ExcbangG (H)Next payload: Nonce (10)Pay!aad length: 100Key Exchange Data: 3bceO3faael89d2bl51a4d527d

16、6L22a23ba7fbl344d40fl4b.- Type Payload: Nonce (10)NexV payluad: Vendor ID (13)Pay!oad length: 24Nonce data; 6ea7c7ed3ca33835588Olb4b32a5abal613O7765E Type payload: vendor id (X3) : cisco-unzty 1,0Next pay!oad: vendor id (工?) Payoad length: 20Vendor ID: 12f5f38c45716aa97G2d9fe274cc0100vendor id: cisc

17、o-unitycisco-unit Major version: 1 cisco-unity Minor version: 0E Type Payload: vendor ID (IM) : RFC 3706 DFD (Dead Peer Detection) NtxT pay' oad: vendor ID (1” Pay load ength! 20 vendor ZD: afcad7136Balflc96b&96fc77570100Vendbr ID: RFC 3706 DPD (Dead Feer Uetection)I Type Payload: vendor id-

18、 (13) : UnknoNn Vendor id Next pay'oad; vendor id CL3) Payload 'ength: 2。Vendor ID:85b93db6a509859fdb炎。vendor id: unknown vendor idE Type Payload: vendor id <11) : xauthNext paylOAd: NAT*Di scovery (15)Payload 'ength: 12 vendor to: 00026fl5dfd6b712 vendor id: xauth|二 Typ電 Payload: NAT

19、-D-!scovery 115)Next pay"oad: NAT-Discovery (15)Payload 'ength: 24HA5H qF th七 address and port;cbc7d7C9fe93d4da3cel25bl4155;raeF Type Paylosd: NAT-Dscovery (15)NaxT psyl oarl: N門NF / no NakT payl oar! (0)Payload length: 24HASH of th address and port1 6db4442claf0b63d93334e3a0cbSacl9f;S04eca

20、4 從上圖可看出模式主模式,載荷類型是密鑰交換和廠商載荷。說(shuō)明:DH是一種非對(duì)稱密鑰算法,基于一個(gè)知名的單項(xiàng)函數(shù),A=Ga mode p這個(gè)函數(shù)的特點(diǎn)是在G和p很多的情況下已知a求A很容易,反之基本不 可能。關(guān)于這個(gè)算法詳情可以參考網(wǎng)絡(luò)上的相關(guān)文章。IPSEC就是通過(guò)這種方式,協(xié)商密鑰的。有了這個(gè)秘密就可以通過(guò)衍生算 法得到密鑰和HMAC吃了 IKE的密鑰,感興趣的密鑰也從這個(gè)密鑰衍生 出來(lái)的,所以說(shuō)這個(gè)密鑰是IPSEC的始祖。3.第四個(gè)包基本這第三個(gè)相同第5-6個(gè)數(shù)據(jù)包1 .作用這個(gè)過(guò)程主要任務(wù)是認(rèn)證。(通過(guò)1-2和3-4的協(xié)商已經(jīng)具備策略和密鑰所以這 個(gè)階段已經(jīng)在安全環(huán)境中進(jìn)行了)2 .第

21、五個(gè)包的格式-int&rn&t security Association and K&y Management Protocol Initiator cookie: cfO2326f14aQSbQSNext payload: identification (5)version: 1_ 0exchange type: |idenriry Prorecti on (Main Mode (2)B Flags; QxQl .二1 =- Encryprion: Encrypred* * * *"".- commit: no comnnt. 0. 工 Aut h

22、ent i cation: No authenticationMessage ID: OxOOOOOOOCLength: 108Encrypted Data (SO bytes)從上圖可以看出,模式只主模式,載荷聯(lián)系身份認(rèn)證,F(xiàn)LAGS這個(gè)開(kāi)源參考IETF IP安全標(biāo)識(shí)數(shù)據(jù)的特定細(xì)節(jié)。(這些已經(jīng)比較難了)3.第六個(gè)包格式-internet security association and Key Management Protocol Initiror cooki t: cfO2426fl495bqMI Next payload: idenxlfl cation version: i.uExc

23、hange type! fr-rvcie prot虹tidn LMann 力下口2ji日 Flags i 6x01_1=忙 FKrvDti0":E"urypt£d 10. H tQIDIHlT; nq tomniitO.-Auxhenxication: n。 authenticationMessage id: 0x00000000Length: 76Encrypred Ddxa (46 byies說(shuō)明此文檔只是驗(yàn)證了共享密鑰的驗(yàn)證方法,證書(shū)驗(yàn)證在以后的文章中給出第二階段快速模式3個(gè)包1對(duì)MM模式的IKE參數(shù)做加密驗(yàn)證2 交換 IPSEC 轉(zhuǎn)換集一transform

24、er-set3接受者確認(rèn)發(fā)起者提出的參數(shù),并建立ipsec sa1.作用在安全的環(huán)境中協(xié)商處理感興趣流的策略。主要包括:(1)感興趣流(2)加密策略(3)散列函數(shù)(4)封裝協(xié)議(5)封裝模式(6)密鑰的有效期2 .第一個(gè)包發(fā)送方會(huì)把感興趣流和相關(guān)的IPSEC策略發(fā)給對(duì)方,有對(duì)方選擇合適的策 略。:=internet security Association and Kty Management Protoco IInitiator cook5e: cf02326f145b9389219e3df-xt payload: Xa與 (E)yer-i口n: 1QE-hangR Eypp; Qirick

25、 Mpde <32)S Flags; 0x011工 Encryption: Encrypted0_ = commit: no commit. .0. = Atilhenfi earn or : no aux he m i c ax 1 o nMessage id: OxCrF2b7B62Encrypted Data 192 bytesJLength: 220從上圖可以看出模式是快速模式,類型是 HASH載荷,已經(jīng)是安全環(huán)境 了。由于是加密的數(shù)據(jù),所以在這里看不出具體的內(nèi)容。3 .第二三個(gè)包B internet security Association and Key Management

26、 Protocol rni t1 ator soklc: cf02326fl4a95b93 Responder cookih: L8aL09f89219e8df Next payl oad; riash versi on: 14 0 Exchange type: Quick Mode (S2)i= Fl ags1 0x01.«. , . .1 = Encrypr i on r EncrypredU.=conrrait: mocommit."Authentication:mo authenficationMessageID:OxOF2b7862Length:220Encrypred Dara (192 bytes)-internet security Association and Key Management Protocol initiaror cookie: cf02326f145b3 Responder cookle: 16al09fB?21SeBdf Next payload: Hash (M)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論