實(shí)驗(yàn)2IPSec-IP安全協(xié)議

2IPSec—IP過(guò)程中的數(shù)據(jù)完整性以及供給對(duì)信息發(fā)送者身份的認(rèn)證和不行抵賴(lài)性。一、 試驗(yàn)?zāi)康腎PSecIPSecWindows環(huán)境下能夠利用IPSec二、 試驗(yàn)環(huán)境Windows2三、 試驗(yàn)原理IPSecIPSec4IPSec(AH)或封裝安全載荷協(xié)議(ESP)；Internet(IKE，InternetKeyExchange)：進(jìn)展安全參數(shù)協(xié)商；SADB(SADatabase)：用于存儲(chǔ)安全關(guān)聯(lián)(SA，SecurityAssociation)等安全相關(guān)參數(shù)；SPD(SecurityPolicyDatabase，安全策略數(shù)據(jù)庫(kù))：用于存儲(chǔ)安全策略。IPSec的工作原理類(lèi)似于包過(guò)濾防火墻。IPSec是通過(guò)查詢(xún)安全策略數(shù)據(jù)庫(kù)SPD接收到的IPIPSecIPIPSecIPSecIPSecIP包進(jìn)展加密和認(rèn)證，保證了在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性、完整性，使通過(guò)InternetIETFIPSecIPSec如圖2-1，在流出處理過(guò)程中，傳輸層的數(shù)據(jù)包流進(jìn)IP層，然后按如下步驟執(zhí)行：圖圖2-1 IPSec流出處理流程查找適宜的安全策略。從IP包中提取出“選擇符”來(lái)檢索SPD，找到該IP包所對(duì)應(yīng)的流出策略，之后用此策略打算對(duì)該IP包如何處理：繞過(guò)安全效勞以一般方式傳輸此包或應(yīng)用安全效勞。查找適宜的SA。依據(jù)策略供給的信息，在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中查找為該IP包所應(yīng)當(dāng)應(yīng)用的安全關(guān)聯(lián)SA。假設(shè)此SA尚未建立，則會(huì)調(diào)用IKE，將這個(gè)SA建立起來(lái)。此SA了使用何種根本協(xié)議(AHESP)，承受哪種模式(隧道模式或傳輸模式)，以及確定了加密算法，驗(yàn)證算法，密鑰等處理參數(shù)。SASAIP道模式下的ESPAHESP或AHIPSec如圖2-2，在流入處理過(guò)程中，數(shù)據(jù)包的處理按如下步驟執(zhí)行：圖2-2 IPSec流入處理流程IP包類(lèi)型推斷：假設(shè)IP包中不包含IPSecIP中包含IPSecSAIPSecSPIIPIPSec協(xié)議，然后利用<SPISAD中搜尋SPI。假設(shè)SA假設(shè)找到對(duì)應(yīng)SA，則轉(zhuǎn)入以下處理。具體的IPSec處理：依據(jù)找到的SAIPSec處理。SPDIPSec處理的應(yīng)用是否正確。最終，將IPSec頭剝離下來(lái)，并將包傳遞到下一層，依據(jù)承受的模式的不同，下一層或者是傳輸層，或者是網(wǎng)絡(luò)層。四、 試驗(yàn)步驟本練習(xí)主機(jī)A、BC、DE、F為一組。下面以主機(jī)A、B步驟。IPsecIPsec2-3IPsec的安全策略處于沒(méi)有啟動(dòng)狀態(tài)，必需進(jìn)展指定，IPsec才能發(fā)揮作用。IPsec32-32-3本地安全設(shè)置IP通訊總是使用Kerberos任的客戶(hù)端的擔(dān)憂(yōu)全通訊。這個(gè)策略用于必需承受安全通道進(jìn)展通信的計(jì)算機(jī)。IPSecIPSec安全通信，則可以建立IPSec虛擬專(zhuān)用隧道。只有與效勞器的懇求協(xié)議和端口通信是安全的。IP通信總是使用Kerberos響應(yīng)懇求的客戶(hù)端的擔(dān)憂(yōu)全通信。以上策略可以在單臺(tái)計(jì)算機(jī)上進(jìn)展指派，也可以在組策略上批量指派，為了到達(dá)通過(guò)協(xié)商后雙方可以通信的目的，通信雙方都需要設(shè)置同樣的策略并加以指派。IPSec”頁(yè)簽中已經(jīng)存在3IP在本練習(xí)中，我們實(shí)現(xiàn)的是兩臺(tái)主機(jī)之間的IPSec安全隧道，而不是兩個(gè)網(wǎng)絡(luò)之間的安全通信，因此，我們選擇“此規(guī)章不指定隧道IPSe，選中后單擊“下一步”按鈕。在選擇網(wǎng)絡(luò)類(lèi)型的界面。安全規(guī)章可以應(yīng)用到3種網(wǎng)絡(luò)類(lèi)型：全部網(wǎng)絡(luò)連接、局(LAN在IP篩選器列表界面。我們定制自己的篩選操作，單擊“添加”按鈕，進(jìn)入2-4圖圖2-4 IP篩選器列表定制自己的IPIP按鈕；在“IP篩選器描述和鏡像屬性”的“描述”中，可自由添加對(duì)增篩選器的解釋信息，在這里輸入“與同組主機(jī)進(jìn)展安全的icmpIP通信源選擇“我的IPIP通信目標(biāo)選擇“一個(gè)特定的IPIP同組主機(jī)I，單擊“下一步”按鈕；選擇“ICMP”協(xié)議類(lèi)型，單擊“下一步”按鈕。單擊“完成”按鈕，完成定制IP篩選器；單擊“確定”按鈕，退出“IP篩選器列表”對(duì)話(huà)框。操作界面返回到“安全規(guī)章向?qū)P篩選器：IP篩選器列表”中選中“IP在“篩選器操作”界面單擊“添加”按鈕建篩選器操作，在彈出的“篩選器操作向?qū)А苯缑嬷校瑔螕簟跋乱徊健卑粹o；的篩選器操作名稱(chēng)為“安全的ICMP在“篩選器操作常規(guī)選項(xiàng)”中選中“協(xié)商安全選中“不與不支持IPSecIP通信安全措施”中，選擇“完整性和加密擊“完成”按鈕完成篩選器操作設(shè)置。返回到“安全規(guī)章向?qū)CMP擊“下一步”按鈕；寫(xiě)共享密鑰“jlcss”(主機(jī)A、主機(jī)B的共享密鑰必需全都)，單擊“下一步”按鈕，直至最終完成。IPsec指派”使策略生效。主機(jī)A不指派策略，主機(jī)BAcmd”掌握臺(tái)中，輸入如下命令：ping主機(jī)BIP填寫(xiě)ping操作反響信息： 。主機(jī)A指派策略，主機(jī)BAcmd”掌握臺(tái)中，輸入如下命令：ping主機(jī)BIP填寫(xiě)ping操作反響信息： 。主機(jī)A不指派策略，主機(jī)BAcmd”掌握臺(tái)中，輸入如下命令：ping主機(jī)BIP填寫(xiě)ping操作反響信息： 。主機(jī)A指派策略，主機(jī)BAcmd”掌握臺(tái)中，輸入如下命令：ping主機(jī)BIP填寫(xiě)ping操作反響信息： 。ESP首先確保主機(jī)A、主機(jī)B均已指派策略。主機(jī)A、B進(jìn)入試驗(yàn)平臺(tái)，單擊工具欄“協(xié)議分析器”按鈕，啟動(dòng)協(xié)議分析器。定主機(jī)A的I主機(jī)B的I按鈕，點(diǎn)擊“選擇過(guò)濾器”按鈕，確定過(guò)濾信息。在建捕獲窗口工具欄中點(diǎn)擊“開(kāi)頭捕獲數(shù)據(jù)包”按鈕，開(kāi)頭捕獲數(shù)據(jù)包。主機(jī)Acmd”掌握臺(tái)中對(duì)主機(jī)B進(jìn)展ping待主機(jī)Aping操作完成后，主機(jī)A、B議解析”視圖，觀(guān)看分析源地址為主機(jī)AIP、目的地址為主機(jī)BIP2-52-5概要解析分析右側(cè)協(xié)議樹(shù)顯示區(qū)中具體解析及下側(cè)十六進(jìn)制顯示區(qū)中的數(shù)據(jù)，參照?qǐng)D2-6，依據(jù)鏈路層報(bào)頭〔默認(rèn)14〕→網(wǎng)絡(luò)層報(bào)頭〔本試驗(yàn)中為20〕→ESP析數(shù)據(jù)，答復(fù)以下問(wèn)題：圖2-6 ESP十六進(jìn)制數(shù)據(jù)ESP協(xié)議類(lèi)型值〔十進(jìn)制〕 。安全參數(shù)索引(SPI)值是 。序列號(hào)是 。ICMP負(fù)載是否被加密封裝 。協(xié)議分析AH主機(jī)、BICMPAH源進(jìn)展身份驗(yàn)證，而不對(duì)傳輸數(shù)據(jù)進(jìn)展加密處理。在“屬性”對(duì)話(huà)框中，雙擊“IP在“編輯規(guī)章屬性”對(duì)話(huà)框中，選擇“篩選器操作”頁(yè)簽，雙擊“安全的ICMP在“屬性”對(duì)話(huà)框中，選擇“安全措施”頁(yè)簽，在“安全措施首選挨次”中，雙擊唯一的一條規(guī)章；在“編輯安全措施”對(duì)話(huà)框中，選中“自定義2-72-7自定義安全措施設(shè)置2-7自定義安全措施設(shè)置主機(jī)A、B主機(jī)A對(duì)主機(jī)B進(jìn)展ping至“協(xié)議