实验七 Window 7系统中IPSec协议配置及数据包分析.doc

实验七 Window 7系统中IPSec协议配置及数据包分析一：实验目的本实验主要验证IP通信在建立IPSec传输模式和隧道模式前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。二：实验环境实验中使用以下软件和硬件设备(1) VMware workstation 15 pro(官网最新版)(2) Windows 7专业版系统和Windows 7 旗舰版系统(3) 都装好wireshark2.6.4版本(4) 一个交换机(5) 两台装有操作系统和sniffer嗅探机的vm虚拟机为了方便称呼win7专业版系统为PC1，win7旗舰版版系统为PC2，从这里开始都以PC1，PC2来称呼代替直到实验的结束，万望注意辨别。三：实验内容1. 了解IPSec2. 在Windows XP的计算机上配置IPSec VPN原理简介：IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。四：实验步骤1、 传输模式的实现1. 启动VMware 15，建立两个Windows7系列的虚拟机。一个为win7专业版系统虚拟机，一个为win7旗舰版系统虚拟机。 图1 图2 第一次做实验：PC1：192.168.219.130 PC2：192.168.219.131 第二次做实验：PC1：192.168.252.128 PC2：192.168.252.129 注释：本次实验是分成两次所作的，在第一次做实验的时候，因IP策略上的设置错误，导致迟迟未抓到isakmp包，因此第二次做时设置正确后就抓到了，这是本人对该实验的理解不到位所导致的，已深刻检讨。 2.新建本地安全策略 IP安全策略-1 (用作IPSec传输模式) 图3 图43 .编辑IP安全策略-1的属性，新建IP安全规则图5 图64.设置安全规则的模式(传输模式) 图75. 设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表 图86. 设置源地址为PC1的IP地址（即为192.168.219.130），目的地址为：192.168.219.131。 图9 图10 图11 图127. 添加筛选器操作，选用不同的加密模式。 图13 图14图15图16图17图188. 设置共享密钥的密码 图199. 完成，设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息图20图2110. 完成后，指派当前的安全策略 图2211.在PC2机器上新建安全策略，将源地址和目标地址分别设为192.168.219.131和192.168.219.130，设置筛选器操作以及共享密钥都跟PC1机器上的设置完全相通。 图2312.不指派查看结果 图2413.指派一方IP策略查看结果 图25 图2614. 双方均指派IP策略查看结果 图27 图28二、隧道模式的实现1.添加两个筛选器列表 图292. 采用同样的方式设置筛选器列表in和筛选器列表out的操作 图303. PC1：out的隧道模式设置 图314.PC1：in的隧道模式设置 图325. PC2：out的隧道设置 图336. PC2：in隧道模式的设置 图347. 同时设置筛选器目标地址和源地址IP规则如下：PC1，IP：192.168.219.130 筛选器out 源地址：本身(192.168.219.130) 目标地址：192.168.219.131(PC2) 筛选器in 源地址：192.168.219.131(PC2) 目标地址：本身(192.168.219.130)PC2，IP：192.168.219.131 筛选器out 源地址：本身(192.168.219.131) 目标地址：192.168.219.130(PC1) 筛选器in 源地址：192.168.219.130(PC1) 目标地址：本身(192.168.219.131)8. 指派双方的安全策略-2，并查看结果下面为PC1的结果图 图35下面为PC2的结果图 图362、 抓包分析isakmp协议过程A、 第一阶段主模式(即IPSec传输模式)原理分析 图37该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.128所抓到的isakmp包。 图38该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.129所抓到的isakmp包。MM 模式下：6个包 1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2 包：双方互相提供可以实现的Isakmp参数 包括下面的内容 1 对端ip 2 authentication 方式：presharekey CA 等 3 加密类型 des 3des aes 4 hash md5 sha-1 5 DH 1,2.73-4 包 通过DH算法产生可以密钥 1 给isakmp phase 1 阶段使用 2 给ISakmap phase2 阶段使用5-6 包 验证对等体的身份,建立isakmp sa 1 共享密钥 2 CA 3 NO-nonceMM模式下要配置参数在 1 cryipsec isakmp key cisco address X.x.X.X-配置共享密钥 2 authentication 方式：presharekey CA 等 3 加密类型 des 3des aes 4 hash md5 sha-1 5 DH 1,2.7 第1-2个数据包1.作用（1）通过数据包源地址确认对端体的和合法性。（2）协商IKE策略2. 第一个包的格式 图39通过上图可以看出，模式是主模式，载荷类型是SA，数目是一个，内容是IKE策略。3. 第二个包 图40 图41通过上面的图可以看出是协商后的策略第3-4个数据包1. 作用(1) 通过协商DH产生第一阶段的密码2. 第三个包的格式 图42 图43从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。说明：DH是一种非对称密钥算法，基于一个知名的单项函数，A=Gamode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易，反之基本不可能。关于这个算法详情可以参考网络上的相关文章。IPSEC就是通过这种方式，协商密钥的。有了这个秘密就可以通过衍生算法得到密钥和HMAC吃了IKE的密钥，感兴趣的密钥也从这个密钥衍生出来的，所以说这个密钥是IPSEC的始祖。3.第四个包基本与第三个相同第5-6个数据包1. 作用这个过程主要任务是认证。（通过1-2和3-4的协商已经具备策略和密钥所以这个阶段已经在安全环境中进行了）2. 第五个包的格式 图44从上图可以看出，模式只主模式，载荷联系身份认证，FLAGS这个开源参考IETF IP 安全标识数据的特定细节。3.第六个包格式 图45说明此文档只是验证了共享密钥的验证方法。二、第二阶段IPSec隧道模式的4个包 图461 对MM模式的IKE参数做加密验证2 交换 IPSEC 转换集transformer-set3 接受者确认发起者提出的参数，并建立ipsec sa1.作用在安全的环境中协商处理感兴趣流的策略。主要包括：（1）感兴趣流（2）加密策略（3）散列函数（4）封装协议（5）封装模式（6）密钥的有效期2.第一个包发送方会把感兴趣流和相关的IPSEC策略发给对方，有对方选择合适的策略。 图47从上图可以看出模式是主模式，类型是Security Assciation(安全协议)由于是加密的数据，所以在这里看不出具体内容。3. 第二、三个包 图48可以看出，所抓到的四个包是完全相同的，可以看出我这里的SPI是双向的，本人查看了步骤没有问题，一直无法抓到隧道模式下的那三个所谓的包，只是抓到了四个包2个阶段有什么联系和区别：1 MM模式成功建立一个可以信赖的isakmp sa 并利用DH算法产生用于1.2 需要使用的密钥，实际上位2阶段做准备2 实际在加密中使用的SA是2阶段的ipsec sa 而不是1阶段的sa3 MM 模式的sa lifetime 24h 在Qm模式下是1h4 在MM阶段并未使用AH ESP 只有在QM模式才使用 AH ESP 因此的实际应有在阶段5 主模式MM_SA，为建立信道而进行的安全关联 快速模式QM_SA，为数据传输而建立的安全关联6.安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：7.安全参数索引SPI；8.IP目的地址；