Window系統(tǒng)中IPSec協(xié)議配置及數(shù)據(jù)包分析

1、傳輸模式的實(shí)現(xiàn)1.啟動 vmware 建立兩個 windows server 2003 虛擬機(jī)IP1:192.168.72.128IP2:192.168.72.132.訂訕-訶 28 %e*er 2QO3 騷用曲呵 1詼 1 - VM 中!咤 Wo*刖點(diǎn) 5singr o 11日暑吐!*VftlJi暑驚說* 伍1中 曲|ja_iLtdE口| i事Myi .誡話nd口%.rwr2003tndiirdETitioni . AndcvYa SvmrJJDCUgrdlaindEsdififfl-iW-nolwvk XP葉#fond2.新建本地安全策略 IP 安全策略-1 （用作 IPSec 傳輸模式）

2、3 編輯安全策略 -1 的屬性 ,新建 IP 安全規(guī)則4.設(shè)置安全規(guī)則的模式（傳輸模式）5.設(shè)置對所有網(wǎng)絡(luò)連接都是用這個安全策略新建并設(shè)置IP 篩選器列表7.設(shè)置源地址為我的 IP 地址，目標(biāo)地址為 192.168.72.1318 添加篩選器操作，選用不同的加密模式9.設(shè)置共享密鑰的密碼。10.完成，設(shè)置剛剛創(chuàng)建的規(guī)則為當(dāng)前 IP 策略的規(guī)則查看當(dāng)前規(guī)則的基本信息11.完成后，指派當(dāng)前的安全策略。12.在另一臺機(jī)器上新建安全策略，將源地址和目標(biāo)地址分別設(shè)為本機(jī)和192.168.72.128，設(shè)置篩選器操作以及共享密鑰必須跟第一臺機(jī)器上的設(shè)置完全相通13.不指派查看結(jié)果14.指派一方 IP 策略

3、查看結(jié)果15. 雙方指派 IP 策略查看結(jié)果二、隧道模式的實(shí)現(xiàn)1.添加兩個篩選器列表2.采用同樣的方式設(shè)置篩選器列表in 和篩選器列表out 的操作3.不同的地方是， 指定 IP 為 192.168.72.128，out 策略的隧道終點(diǎn)的 IP 地址為 192.168.72.1314.In 策略的隧道終點(diǎn)為本身IP,指定 IP 為 192.168.72.131 , out 策略的隧道終點(diǎn)的 IP 地址為 192.168.72.128 In 策略的隧道終點(diǎn)為本身 IP5.6.同時(shí)設(shè)置篩選器目標(biāo)地址和源地址的IP規(guī)則：IP：192.168.72.128 篩選器 out 源地址：本身 目標(biāo)地址： 1

4、92.168.72.131 篩選器 in 源地址： 192.168.72.131 目標(biāo)地址：本身IP：192.168.72.131 篩選器 out 源地址：本身 目標(biāo)地址： 192.168.72.128篩選器 in 源地址： 192.168.72.128 目標(biāo)地址：本身指派雙方的安全策略，查看結(jié)二 . 抓包分析 isakmp 協(xié)議過程A.第一階段主模式原理分析MM 模式下： 6 個包 1-2 包：雙方互相提供可以實(shí)現(xiàn)的 isakmp 參數(shù)，包括以下內(nèi)容 1-2 包：雙方互相提供可以實(shí)現(xiàn)的 Isakmp 參數(shù) 包括下面的內(nèi)容1 對端 ip2 authentication 方式：presharek

5、ey CA 等3 加密類型 des 3des aes4 hash md5 sha-15 DH 1,2.73-4 包通過 DH 算法產(chǎn)生可以密鑰1 給 isakmp phase 1 階段使用2 給 ISakmap phase2 階段使用5-6 包驗(yàn)證對等體的身份，建立 isakmp sa1 共享密鑰2 CA3 NO-nonceMM 模式下要配置參數(shù)在1 cryipsec isakmp key cisco address X.x.X.X-配己置共享密鑰2 authentication 方式：presharekey CA 等3 加密類型 des 3des aes4 hash md5 sha-15 D

6、H 1,2.7第 1-2 個數(shù)據(jù)包1作用（1）通過數(shù)據(jù)包源地址確認(rèn)對端體的和合法性。（2）協(xié)商 IKE 策略2.第一個包的格式10000000 10.0.0.110.C.0.ZI5AKXP19OIdefinty Protection(Main Node通過比較收到的數(shù)據(jù)包的源地址和本端配置的CRYPTO ISAKMP KE 溜碼 address IP中的 IP 是否相等驗(yàn)證合法性。相等就接收設(shè)個包，不相等就丟棄。通過上面的圖可以看出是協(xié)商后的策略丄neerrwe s (1J；dyf&iavfindorID(13)Payload lergih: 60Domjiri of imterpre

7、tati on; IPSEC tl)F situation; 00000(X)1F Typt= Payload: PrnposB 2) * 1 MEXL payload: hKHNF . Mn Next Payload (0paylcid la.-igtti： 4& prop at al mbtnbr:丄Protocol IO：IEAIWP ClSFIsize: 0Proffljfll trflnfnrns：1=i Tyip* PaylcRd: Trurtfcm (1) i I+ Tr anstam ilTr dm f jfrti ?l 17dnsfUrriTranifomiTrans

8、form匸Ti-nfTTTHEAttrbuttTypeTkAltrJbuLvTypH1KLALEr1LuTyp IKIAixrlburcTypeIKEAttributeTypeTifFitrr-ih.FPTypeCr-1,1=2J Encrypton-i gorithm : AE5-CBC(1=14,1=2)bfriyth : 128(1=2,12) Hi&t -47gDI I Lhll : Sl-A(i-4,1-21 Agp OcccrlptTan : ucfauRT6Erlt卜唱厲group(t*3,1-2) Authcnt- cation Met hoc : P5K(t-11hl

9、=?) I Iff-T/pe : Sermc通過上圖可以看出，模式是主模式，載荷類型是 SA，數(shù)目是一個，內(nèi)容是IKE 策略3.第二個包h inisrntei mr Ry -yucJ込 LIMId Ky號電川譽(yù)ill proiotulinitiator cookie; cfO2i；5fna9 5b3JRepnndrcookiP: 1 3r.i%pfidfNext pR：lcijid：vers ion:1.Secur i t y issori ationExchange type : I dent-tyFTa recti in (Main kode) C2Flags: oxoiM占g巴IO: O

10、JCOOOO&OOOznqE K酉(Typc payoad; Security 4ssociatian (l；iNPKTpayload:vendor TDpay!o*d length： &0Doradn of Interpretafion:IPSEC(I) S-ituation: 00000&01Type Fay 1口a.d ： P口posal 2 #1 Next payluad:MUNk No Ntxt P聞4L payload Payloadlenqrti; 40Tranf nrti ntjrhip-r t 1TrHiisrorraHTrapisfom iTrisf

11、qrn + Tra：7 5f nrn:七Traf口11 irrarifarnTra.-*st3rn：D：IKbIKE_K-TKF亠2KErKFKE匸DCF pe : seccridj fr-LJ. l-i) -ff*XjraCion :1payloid:NONE:NO第3-4個數(shù)據(jù)包1作用(1)通過協(xié)商 DH 產(chǎn)生第一階段的密碼。2 第三個包格式EJ internet security Association and Key Management protocoI initiator cookie: cf02326f14a95b51Responder cookie: 18al09f89219S

12、dfNext payload: Key Exchange (4)Version 1 1.0Exchange type: identity Prorectior (Main Mode) (2)E Fl ags : 0 x00Message ID：OxOOQOOOOOLength; 272Type pyload: Key ExcbangG (A)Next payload: Nonce (10)Pay!aad length: 100Key Exchange Data: 3bceO3faael89d2bl51a4d527d6L22a23ba7fbl344d40fl4b. - TypePayload:

13、Nonce CtOjNEXV payluad：Vendor ID (13)Pay!oad 1ength: 24NonceDATA: 6ea7c7ed3ca33835588Olb4b32a5abal613O7765E Type payload：vendorID(X3) :CISCO-UNZTY1,0Next pay!oad: vendorID(工壬)Rayload length: 20Vendor ID：12f5f38c45716aa97G2d9fe274cc0100 vendorID: cis匚CISCO-UNIT Major version: 1CISCO-UNITYMinor versio

14、n: 0E Type Payload: vendor ID CL巧:RFC 3706 DFD (Dead Peer Detection)NtxT payoad: vendor ID (13)Pay load ength! 20vendor ZD：afcad7136Balflc96b&96fc77570100Vendor ID: RFC 3706 DPD CDead Feer Oetecfi on)I Type Payload: vendorID(13) : UnknoNn VendorIDNext payoad; vendorIDCL3)Payload ength: 20Vendor

15、ID：3ac595214iiB5b93db6a5O9B&9fdb33QvendorID: unknown vendorIDE Type Payload: vendorID11) :XAUTHNext paylOAd: NAT*Di scovery 15)Payload ength: 12vendor io: 00026fl5dfd6b712vendorID:XAUTH匕Typ色Payl oad: NAT-D-! scovery Cl5Next payoad: NAT-Discovery (15)Payload ength: 24HA5HQF th address and port;cb

16、c7d7C9fe93d4da3ce!25bl斗工HSZFapF Type Paylosd：NAT-Dscovery (15)NAXT psyl oarl: NONf /NONAKT payl oar! (D)Payload length: 24HASH of the address and port: 6db4442claf0b63d93334e3a0cbSacl9f;&04eca4從上圖可看出模式主模式，載荷類型是密鑰交換和廠商載荷。說明：DH 是一種非對稱密鑰算法，基于一個知名的單項(xiàng)函數(shù)，A=Ga mode p 這個函數(shù)的特點(diǎn)是在 G 和 p 很多的情況下已知 a 求 A 很容易，

17、反之基本不 可能。關(guān)于這個算法詳情可以參考網(wǎng)絡(luò)上的相關(guān)文章。IPSEC 就是通過這種方式，協(xié)商密鑰的。有了這個秘密就可以通過衍生算 法得到密鑰和 HMAC 吃了 IKE 的密鑰，感興趣的密鑰也從這個密鑰衍生 出來的，所以說這個密鑰是 IPSEC 的始祖。3.第四個包基本這第三個相同第 5-6 個數(shù)據(jù)包從上圖可以看出，模式只主模式，載荷聯(lián)系身份認(rèn)證，F(xiàn)LAGS 這個開源參考 IETF IP 安全標(biāo)識數(shù)據(jù)的特定細(xì)節(jié)。（這些已經(jīng)比較難了）3.第六個包格式-internet security Association and Key Management Protocol Initiror cooki

18、t: cf02 526f 14a5b9JI Next payl od: idenxlfl cation5) version: l.uExchange type!肛呂色旺代甘p”t色icn LMRnMEJOZH Flags i 6x01. 1 = t ficwt i oj?：E口匚廠ypt主5.QHtQIDIHlT;NQtomniit. 0”, - Auxhenxication:NOauthenti匚eirJ口門MessageID:0 x00000000Length: 76EncrypTed(46 byres說明此文檔只是驗(yàn)證了共享密鑰的驗(yàn)證方法，證書驗(yàn)證在以后的文章中給出第二階段快速模式3個包

19、1 對 MM 模式的 IKE 參數(shù)做加密驗(yàn)證2 交換 IPSEC 轉(zhuǎn)換集一 transformer-set3 接受者確認(rèn)發(fā)起者提出的參數(shù)，并建立 ipsec sa1作用在安全的環(huán)境中協(xié)商處理感興趣流的策略。主要包括：(1) 感興趣流(2) 加密策略(3) 散列函數(shù)(4) 封裝協(xié)議(5) 封裝模式(6) 密鑰的有效期2. 第一個包發(fā)送方會把感興趣流和相關(guān)的 IPSEC 策略發(fā)給對方， 有對方選擇合適的策略。：=internet security Association and艮oy Management Protoco I工ni ti aror cook5e:cf02326f145b9 3于89

20、219e3dfN住paylomcl: UH與H (E)Version: l.QExchange ype; Qu4ck Mode (2) |S Flags; 0 x01.1 Encryption: Encrypted.0_= commit:NOcommit.* . 0-, = Atilhenfi cafi or :NOaux he m i c ax 1 o n MessageID:OxCrF2b了縣忑2Length: 220從上圖可以看出模式是快速模式，類型是 HASH 載荷，已經(jīng)是安全環(huán)境 了。由于是加密的數(shù)據(jù)，所以在這里看不出具體的內(nèi)容。3.第二三個包日internet security A

21、ssociation and Key Management Protocol mi ti ator cooki e:cf02326f:L4a95b93Responder cookle: L8aL09f89219e8dfNext payload: nash甘)versi on: 1* 0Exchange type: Quick Mode32)L Flags: 0 x01.* *. ,.1 = Encryption: Encrypted0*= Commit:MOcommit.0* - Authentication:MOauthentication卜欄芻sage ID: 0 x0F2b7862Len

22、gth: 220Encrypred Dara (192 bytes)-internet security Association and Key Management Protocol工口itiaror cookie:cf02326f145b3Responder cookle: 16al09fB?21SeBdfNext payload: Hash version: 1_ 0Exchange type: Qu*lck ModeI- Flags: 0 x01.1 = Encryprlon: Encrypted.0-業(yè)commit:NOcommit.0.- = Authentication: kc uthent i cation iGssageID: 0 x0f2b7B62Length: 60匚口crypted Data (32 bytes5由于是加密數(shù)據(jù)包在