實(shí)驗(yàn)八 IPSec安全通信

實(shí)驗(yàn)八IPSec實(shí)現(xiàn)安全通信【實(shí)驗(yàn)?zāi)康摹苛私釯PSec主要協(xié)議；理解IPSec工作原理；掌握Windows環(huán)境下利用IPSec在兩臺(tái)主機(jī)間建立安全通道的方法?！緦?shí)驗(yàn)環(huán)境】?jī)膳_(tái)以上裝有Windows2000/XP/2003操作系統(tǒng)的計(jì)算機(jī)，其中必須有一臺(tái)為Windows2000/2003o【實(shí)驗(yàn)原理】IPSec作為一套標(biāo)準(zhǔn)的集合，包括加密技術(shù)、Hash算法、Internet密鑰交換、AH、ESP等協(xié)議，在需要時(shí)還可以互相結(jié)合。IPSec是基于OSI第三層的隧道協(xié)議，第三層隧道協(xié)議對(duì)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位，將IP包封裝在附加的IP包頭中，通過(guò)IP網(wǎng)絡(luò)發(fā)送。IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可用為IP層協(xié)議及上層協(xié)議提供以下幾種服務(wù)：數(shù)據(jù)源驗(yàn)證，確保收到的數(shù)據(jù)的發(fā)送者為實(shí)際發(fā)送者；數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過(guò)程中未被非法篡改；抗重播保護(hù)，防止數(shù)據(jù)被假冒者復(fù)制存儲(chǔ)并重復(fù)發(fā)送；信息的機(jī)密性，確保數(shù)據(jù)在傳輸過(guò)程中不被偷看。IPSec定義了一套默認(rèn)的、強(qiáng)制實(shí)施的算法，以確保不同的實(shí)施方案可以共通。IPSec包含四類(lèi)組件:IPSec進(jìn)程本身驗(yàn)證頭協(xié)議(AH)或封裝安全載荷協(xié)議ESP;Internet密鑰交換協(xié)議(IKE,InternetKeyExchange),M行安全參數(shù)的協(xié)商；SADB(SADatabase)，用于存儲(chǔ)安全關(guān)聯(lián)(SA，SecurityAssociation)等安全相關(guān)的參數(shù)；SPD(SecurityPolicyDatabase)，用于存儲(chǔ)安全策略。(1)IPSec的工作模式在IPSec協(xié)議中，無(wú)論是AH還是ESP，都可工作于傳輸模式(TransportMode)和隧道模式(TunnelMode)。①傳輸模式，傳輸模式主要為上層協(xié)議提供保護(hù)，即傳輸模式的保護(hù)擴(kuò)充到IP分組的有效載荷。傳輸模式使用原始的明文IP頭，只加密數(shù)據(jù)部分(包括TCP頭或UDP頭)，如圖8-1所示。傳輸模式的典型應(yīng)用是用于兩個(gè)主機(jī)之間的端到端的通信。

土腳：應(yīng)始［P頭IPSec數(shù)維圖8-1IPSec傳輸工作模式②隧道模式，與傳輸模式相比，隧道模式對(duì)整個(gè)小分組提供保護(hù)，整個(gè)IP數(shù)據(jù)包全部被加密封裝，得到一個(gè)新的IP數(shù)據(jù)包，而新的IP頭可以包含完全不同的源地址和目的地址，因此在傳輸過(guò)程中，由于路由器不能夠檢查內(nèi)部IP頭，從而增加了數(shù)據(jù)安全性，如圖8-2所示。隧道模式通常用于當(dāng)SA的一端或兩端是安全網(wǎng)關(guān)，如實(shí)現(xiàn)了IPSec的防火墻或路由器的情況。甌炯散撕報(bào)原枷頭 醐新敝據(jù)報(bào) ―慕E― 忌 原蛤1P頭 贏「圖8-2IPSec隧道工作模式(2)IPSec的主要協(xié)議①AH協(xié)議，驗(yàn)證頭是插入IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，如圖8-3所示，以便為IP提供數(shù)據(jù)源認(rèn)證、抗重播保護(hù)以及數(shù)據(jù)完整性保護(hù)。AH頭ip頭AH頭ip頭負(fù)載(TCP|DATA)下一個(gè)頭 負(fù)載長(zhǎng)度 保留(Reserved)安全參數(shù)索引 (SPI)序列號(hào)(SequenceNumber)認(rèn)證數(shù)據(jù)(AuthenticationData) -完整性檢驗(yàn)值 (IntegrityCheckValue)(長(zhǎng)度可變)― 32bit —圖8-3AH協(xié)議頭格式驗(yàn)證頭不提供機(jī)密性保證，所以它不需要加密器，但它依然需要身份驗(yàn)證器，并提供數(shù)據(jù)完整性驗(yàn)證。②ESP協(xié)議，封裝安全載荷是插入IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，如圖8-4所示，以便為

IP提供機(jī)密性、數(shù)據(jù)源認(rèn)證、抗重播以及數(shù)據(jù)完整性保護(hù)。填充長(zhǎng)度下圖8-4ESP協(xié)諛數(shù)據(jù)格式認(rèn)證數(shù)據(jù)(長(zhǎng)度可變)③因特網(wǎng)密鑰交換協(xié)議(IKE)用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SA)，IKE以UDP的方式通信，其端口號(hào)為500。IKE是一個(gè)混合協(xié)議，使用到ISAKMP、okley密鑰確定協(xié)議(基于DH協(xié)議)和SKEME協(xié)議。IKE分為兩個(gè)階段：第一階段建立IKE本身使用的安全信道而協(xié)商SA,主要是協(xié)商“主密鑰”；第二階段，利用第一階建立的安全信道來(lái)交換IPSecSA。(3)IPSec協(xié)議的實(shí)現(xiàn)IPSec的工作原理類(lèi)似于包過(guò)濾防火墻°IPSec通過(guò)查詢(xún)安全策略數(shù)據(jù)庫(kù)SPD來(lái)決定接收到的IP包的處理，但不同于包過(guò)濾防火墻的是，IPSec對(duì)IP數(shù)據(jù)包的處理方法除了丟棄、直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外，還有進(jìn)行IPSec的處理。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證，保證了在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)的機(jī)密性、真實(shí)性、完整性，使通過(guò)Internet進(jìn)行安全通信成為可能。在IETF的標(biāo)準(zhǔn)化下，IPSec的處理流程進(jìn)行了規(guī)范。①I(mǎi)PSec外出處理，在外出處理過(guò)程中，傳輸層的數(shù)據(jù)包流進(jìn)IP層，然后按如下步驟處理，如圖8-5所示。

首先，查找合適的安全策略。從IP包中提取出“選擇符”來(lái)檢索SPD，找到該IP包所對(duì)應(yīng)的外出策略，之后用此策略決定對(duì)IP包如何處理；否則繞過(guò)安全服務(wù)以普通方式傳輸此包。其次，查找合適的SA。根據(jù)安全策略提供的信息，在安全聯(lián)盟數(shù)據(jù)庫(kù)中查找該IP包所應(yīng)該應(yīng)用的SA。如果該SA尚未建立。則會(huì)調(diào)用IKE，將這個(gè)SA建立起來(lái)。此SA決定了使用何種協(xié)議（AH或ESP），采用哪種模式（隧道模式或傳輸模式），以確定了加密算法，驗(yàn)證算法，密鑰等處理參數(shù)。最后，根據(jù)SA進(jìn)行具體處理。②IPSec流入處理，在進(jìn)入處理過(guò)程中，數(shù)據(jù)包的處理如下步驟執(zhí)行，如圖8-6所示。不存在<IPS甑頭沒(méi)有不存在<IPS甑頭沒(méi)有存在進(jìn)行］PS甑處理圖8-6 IPSec數(shù)據(jù)進(jìn)入處理流程首先，IP包類(lèi)型的判斷進(jìn)行］PS甑處理圖8-6 IPSec數(shù)據(jù)進(jìn)入處理流程首先，IP包類(lèi)型的判斷：如果P包中不

I盾寇，會(huì)阪「下面的處理。Sec頭，將該包傳遞給下一層；如果IP包中包含了其次，查找適合的$人：從IPSec頭中摘出SPI,議，然后利用＜SPI，如果找到對(duì)應(yīng)的SA迎頭中摘出目的地址和IPSec協(xié)目的地址，協(xié)議＞在SAD中搜索SA。如果SA搜索失敗則轉(zhuǎn)入以下處理。就丟棄該包。再次，具體的處理。IPSec處理，根據(jù)找到SA對(duì)數(shù)據(jù)包執(zhí)行驗(yàn)證或解密進(jìn)行具體的IPSec再次，具體的處理。話(huà)束最后，策略查詢(xún)：根據(jù)選擇符查詢(xún)SPD,，根據(jù)此策略檢驗(yàn)IPSec處理的應(yīng)用是否正確。最后，將IPSec頭剝離下來(lái)，并將包傳遞到下一層，根據(jù)采用的模式，下一層要么是傳輸層，要么是網(wǎng)絡(luò)層?！緦?shí)驗(yàn)步驟】IPSec協(xié)議是在公共IP網(wǎng)絡(luò)上確保通信雙方數(shù)據(jù)通信具有可靠性和完整性的技術(shù)，它能夠?yàn)橥ㄐ烹p方提供訪(fǎng)問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源認(rèn)證、載荷有效性和有限流量機(jī)密性等安全服務(wù)。Windows系統(tǒng)中提供構(gòu)建IPSec安全應(yīng)用的所有組件。首先配置Web服務(wù)器和客戶(hù)端主機(jī)網(wǎng)絡(luò)：服務(wù)器主機(jī)A：WindowsServer2003，IP地址是/24，安裝Web站點(diǎn)并測(cè)試成功。測(cè)試主機(jī)B：Windows2000/XP/2003/Vista,IP地址是/24，測(cè)試與主機(jī)A訪(fǎng)問(wèn)成功。IPSec技術(shù)保證應(yīng)用層服務(wù)訪(fǎng)問(wèn)安全主要有以下幾個(gè)步驟：.在服務(wù)器主機(jī)A、B上安裝并配置IPSec；.在服務(wù)器主機(jī)未啟用或啟用IPSec的情況下進(jìn)行測(cè)試。(1)配置服務(wù)器主機(jī)A的IPSec①建立新的IPSec策略步驟1:單擊“開(kāi)始”一“所有程序”一“管理工具”一“本地安全策略”，打開(kāi)【本地安全設(shè)置】窗口。步驟2:在【本地安全設(shè)置】窗口左側(cè)對(duì)話(huà)框中右擊TP安全策略，在本地機(jī)器”一“創(chuàng)建IP安全策略”，如圖8-7所示。圖8-7創(chuàng)建IP安全策略步驟3：在【歡迎使用IP安全策略】窗口中單擊“下一步”按鈕。步驟4：在【IP安全策略名稱(chēng)】窗口中輸入名稱(chēng)和描述信息、(本實(shí)驗(yàn)中的策略名稱(chēng)為新IP安全策略A)，單擊“下一步”按鈕。步驟5:在【安全通信請(qǐng)求】窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框，單擊“下一步”按鈕。

步驟8:在【完成“IP安全策略向?qū)А薄看翱谥腥∠熬庉媽傩浴蹦J(rèn)選項(xiàng)，單擊“完成”按鈕，打開(kāi)【新IP安全策略A屬性】窗口，如圖8-8所示。新IF安全策略A屆性規(guī)則|常規(guī)］嘉和其它計(jì)算機(jī)通訊的安全規(guī)則

IF安全規(guī)則（X）：主機(jī)到主機(jī)實(shí)現(xiàn)IPSec安全通信），如圖8-10所示。W筋選器列表 I蔬選器操作□默認(rèn)響應(yīng)KerberosI身份驗(yàn)證方法圖8-8創(chuàng)建新IP安全策略A②添加新規(guī)則步驟1:在【新辟安全規(guī)則A屬性】.窗口中取消#用添加向?qū)_選項(xiàng)W筋選器列表 I蔬選器操作□默認(rèn)響應(yīng)KerberosI身份驗(yàn)證方法圖8-8創(chuàng)建新IP安全策略A②添加新規(guī)則步驟1:在【新辟安全規(guī)則A屬性】.窗口中取消#用添加向?qū)_選項(xiàng)Jj再單擊“添加”按鈕，如圖8-8所示。確定|步驟2:在【新規(guī)則屬性】窗口中的-IP篩選器列表”選項(xiàng)卡中選中“所有IICMP通信”單擊“添加”按鈕，出現(xiàn)【IP篩選器列表】窗口，如圖8-9所示。?|x|IF蔬選器列表|催選器操作］身份驗(yàn)證方法|隧道設(shè)置|連接類(lèi)型］工 所選的IF蔬選器列表指定了哪個(gè)網(wǎng)絡(luò)傳輸將爰此規(guī)則M 彩響。IF蔬選器列表（1）:名稱(chēng)?。所有IF通訊所有ICMF通訊描述適用于該計(jì)算機(jī)與任何其他計(jì)...適用于該計(jì)算機(jī)到任何其他計(jì)...圖8-9添加新的過(guò)濾器③添加新過(guò)濾器步驟1:在【IP篩選器列表.窗口中輸入篩選器的名稱(chēng)，并取消搜用，添加向?qū)?”選項(xiàng)，單擊“添加“按鈕。 |確定|取消|應(yīng)用如|步驟2：在【IP篩選器屬性】窗口中設(shè)置源地址和目標(biāo)地址為特定的IP地址（本實(shí)驗(yàn)為IF篩選需屜性地址|協(xié)設(shè)|描述］目標(biāo)地址?：|一個(gè)特定的IF地址 3IF地址⑧：|198.168.―0地址|協(xié)設(shè)|描述］目標(biāo)地址?：|一個(gè)特定的IF地址 3IF地址⑧：|198.168.―0—:一4一

子網(wǎng)掩艷:I255T255.255.255圖8-10設(shè)置通信源與目的地址步驟3:在【Ip篩選器屬性】窗口中,j如圖8-1^示,選擇協(xié)議”選項(xiàng)長(zhǎng)，選擇“協(xié)議類(lèi)型”為ICMP，單擊“確定”按鈕。步驟4：在【IP篩選器列表】窗口中單擊“確定”按鈕，返回【新規(guī)則屬性】窗口，通過(guò)單擊新添加的過(guò)濾器旁邊的單選按鈕激活新設(shè)置的過(guò)濾器，如圖8-11所示鐐輯祝則屜性?|x|IF諦選器列表|蔬選器操作|身汾驗(yàn)證方法|隧道設(shè)置］連接類(lèi)型］M 所選的IF蔬選器列表指定了哪個(gè)網(wǎng)洛隹輸將受此規(guī)則M 影響。IF茄選器列表（L）:名稱(chēng)O所有ICMP通訊O所有IP通訊新ip怖選器列表1描述適用于該計(jì)篇機(jī)與任何其他計(jì)...適用于該計(jì)管機(jī)到任何其他計(jì)...與同蛆主機(jī)進(jìn)行安全的xcmpjim圖8-11激活新建的過(guò)濾器④規(guī)定過(guò)濾器動(dòng)艇）...編輯堡）...步驟1:在【新規(guī)則屬性】窗口中選擇“篩選器操作”選項(xiàng)卡，取消“使用取消I選項(xiàng)，單擊“添加”按鈕，如圖8-12所示。確定應(yīng)用（A）步驟2:在【新篩選器操作屬性】窗口中默認(rèn)選擇“協(xié)商安全”選項(xiàng)，單擊“添加”按鈕。步驟3：在【新增安全措施】窗口中默認(rèn)選擇完整性和加密”選項(xiàng)，選擇節(jié)定義選項(xiàng)”，單擊“設(shè)置”按鈕，在【自定義安全措施設(shè)置】窗口中可選擇AH或ESP協(xié)議及相應(yīng)算法，如圖8-13所示。新祝則尾性IF蔬選器列表蔬選器操作|身份驗(yàn)證方法|隧道設(shè)置|連接類(lèi)型|X 選擇的浦選器操作指定了此規(guī)則是否協(xié)商及如何來(lái)保證網(wǎng)貉通訊的安全。浦位器操作（I）:名稱(chēng)描述。請(qǐng)求安全國(guó)選）接受不安全的通訊，但是請(qǐng)求...@新蔬選器操作A與同蛆主機(jī)進(jìn)行安全的icmpjl信 1O需妻安全接受不安全的ili禮但總是話(huà)...。許可允許不安全的IF數(shù)據(jù)包經(jīng)過(guò)。圖8-12添加新篩選器動(dòng)作自定義安全措冠設(shè)置指定此自定義安全措施的設(shè)置。廠數(shù)據(jù)和地址不加密的完整怪砌“宜完整秘登注（X）:網(wǎng)-一~-~~~^—17數(shù)據(jù)完整性和加密（ESF）（￡）:完整性聳法更）：（SHM V|加密算法廷）：（3DES V|含話(huà)密鑰設(shè)置：匚生成新密鑰間隔四： 生成新密鑰間偏俱）:|100000KB堡） |3600 秒底）圖8-13自定義安全措施設(shè)置步驟4:在【新增安全措施】窗口中單擊“關(guān)閉”按鈕，返回【新篩選器屬性】對(duì)話(huà)框，確保不選擇“允許和不支持IPSec的計(jì)算機(jī)進(jìn)行不安全的通信呢單擊“確定”按鈕］步驟5：在如圖8-11所示的【新規(guī)則屬性】窗口中的“篩選器操作”選項(xiàng)卡中選中“新篩選器操作”并激活，如圖8-12所示。⑤設(shè)置身份驗(yàn)證方法步驟1：在如圖8-11所示【新規(guī)則屬性】窗口中的“身份驗(yàn)證方法”選項(xiàng)卡中單擊“添加”按鈕，打開(kāi)【新身份驗(yàn)證方法屬性】窗口，選擇“使用此字串（預(yù)共享密鑰）”單選框，并輸入預(yù)共享密鑰字串“ABC”。步驟2:在【身份認(rèn)證方法屬性】窗口中單擊“確定”按鈕返回“身份驗(yàn)證方法”選項(xiàng)卡，選中新生成的“預(yù)共享密鑰”，單擊“上移”按鈕使其成為首選，如圖8-14所示。單擊如圖8-1定IPSec隧道單擊如圖8-1定IPSec隧道”。⑦設(shè)置“連接1步驟1：?jiǎn)螕羧鐖D8-11所示【新規(guī)則屬性】窗口中的“連接類(lèi)型”選項(xiàng)卡，默認(rèn)選擇“所有網(wǎng)絡(luò)連接”。步驟2：?jiǎn)螕簟瓣P(guān)閉”按鈕，返回【新IP安全策略A屬性】窗口，如圖8-15所示。步驟3步驟3：圖8-16圖8-16新IP安全策略設(shè)置完成配置服務(wù)器主機(jī)B的IPSec仿照前面對(duì)主機(jī)A的配置對(duì)主機(jī)B的IPSec進(jìn)行配置。測(cè)試IPSec不激活主機(jī)A、主機(jī)B的IPSec進(jìn)行測(cè)試分別在主機(jī)A、B上Ping...，要求對(duì)方主機(jī)可以Ping通。激活一方的IPSec進(jìn)行測(cè)試步驟1:在主機(jī)A新建立的IP安全策略上單擊鼠標(biāo)右鍵并選擇“指派”，激活該IP安全策略。步驟2:在主機(jī)B執(zhí)行命令PING。步驟3:在主機(jī)A執(zhí)行命令PING。激活雙方的IPSec進(jìn)行測(cè)試此時(shí)在主機(jī)A和主機(jī)B之間建立了一個(gè)共享密鑰的IPSec安全通道，它們之間能正常Ping通并進(jìn)行所有訪(fǎng)問(wèn)，如圖8-17所示。如Web、FTP訪(fǎng)問(wèn)。而其他機(jī)器如主機(jī)C(2)則不能訪(fǎng)問(wèn)主機(jī)A和B提供的任何服務(wù)，從而可以保證主機(jī)A和B在公網(wǎng)上傳輸數(shù)據(jù)的安全。如果在主機(jī)C上運(yùn)行第三方網(wǎng)絡(luò)監(jiān)聽(tīng)軟件對(duì)主機(jī)A和B之間的通信數(shù)據(jù)進(jìn)行捕獲可以發(fā)現(xiàn)，捕獲的都是加密的數(shù)據(jù)包，而不是明文數(shù)據(jù)包，也就不能從中得到用戶(hù)名和密碼等敏感信息。

感信息。（4）協(xié)議分析ESP步驟1:主機(jī)B對(duì)Ethreal工具進(jìn)行設(shè)置，并啟動(dòng)使其處于捕包狀態(tài)。步驟2:主機(jī)B打開(kāi)cmd命令符窗口，執(zhí)行ping命令。等待A回應(yīng)后，停止Ethreal捕包狀態(tài)，觀察捕獲的數(shù)據(jù)，如圖8-18所示，記錄ESP協(xié)議的類(lèi)型，SPI值、序列號(hào)值以及判斷ICMP數(shù)據(jù)包是否被加密封裝。。(Untitled)-EtherealL1回FileEditViewGoCaptureAnalyzeStatisticsHelpSfStSt蠲螺1今扃x命昌1、才晞陌不但|gl]!MFilter:▼Expression...ClearApplyTime SourceDestination ProtocolInfo11.9760^ ISAKMIdentityProtection12.0347； ISAKMIdentityProtection12.0446； ISAKMIdentityProtection12.0458： ISAKMIdentityProtection12.0742； ISAKMQuickMode12.1332： ISAKMQuickMode12.1433^ ISAKMQuickMode12.1443； ISAKMQuickMode12.1445' ESPESP(SPI=0xddb5fZ89>* 1 11mero~~n~ive:~~64Protocol:ESP(0x32)>Headerchecksum:Oxf181[correct]Source:()Destination:()I w Joooc012009一ooor460)0oooc012009一o