Window系统中IPSec协议配置及数据包分析

1、传输模式的实现1.启动 vmware 建立两个 windows server 2003 虚拟机IP1:192.168.72.128IP2:192.168.72.132.订讪-诃 28 %e*er 2QO3 騷用曲呵 1诙 1 - VM 中!咤 Wo*刖点 5singr o 11日暑吐!*VftlJi暑惊说* 伍1中 曲|ja_iLtdE口| i事Myi .诫話nd口%.rwr2003tndiirdETitioni . AndcvYa SvmrJJDCUgrdlaindEsdififfl-iW-nolwvk XP叶#fond2.新建本地安全策略 IP 安全策略-1 （用作 IPSec 传输模式）

2、3 编辑安全策略 -1 的属性 ,新建 IP 安全规则4.设置安全规则的模式（传输模式）5.设置对所有网络连接都是用这个安全策略新建并设置IP 筛选器列表7.设置源地址为我的 IP 地址，目标地址为 192.168.72.1318 添加筛选器操作，选用不同的加密模式9.设置共享密钥的密码。10.完成，设置刚刚创建的规则为当前 IP 策略的规则查看当前规则的基本信息11.完成后，指派当前的安全策略。12.在另一台机器上新建安全策略，将源地址和目标地址分别设为本机和192.168.72.128，设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相通13.不指派查看结果14.指派一方 IP 策略

3、查看结果15. 双方指派 IP 策略查看结果二、隧道模式的实现1.添加两个筛选器列表2.采用同样的方式设置筛选器列表in 和筛选器列表out 的操作3.不同的地方是， 指定 IP 为 192.168.72.128，out 策略的隧道终点的 IP 地址为 192.168.72.1314.In 策略的隧道终点为本身IP,指定 IP 为 192.168.72.131 , out 策略的隧道终点的 IP 地址为 192.168.72.128 In 策略的隧道终点为本身 IP5.6.同时设置筛选器目标地址和源地址的IP规则：IP：192.168.72.128 筛选器 out 源地址：本身 目标地址： 1

4、92.168.72.131 筛选器 in 源地址： 192.168.72.131 目标地址：本身IP：192.168.72.131 筛选器 out 源地址：本身 目标地址： 192.168.72.128筛选器 in 源地址： 192.168.72.128 目标地址：本身指派双方的安全策略，查看结二 . 抓包分析 isakmp 协议过程A.第一阶段主模式原理分析MM 模式下： 6 个包 1-2 包：双方互相提供可以实现的 isakmp 参数，包括以下内容 1-2 包：双方互相提供可以实现的 Isakmp 参数 包括下面的内容1 对端 ip2 authentication 方式：presharek

5、ey CA 等3 加密类型 des 3des aes4 hash md5 sha-15 DH 1,2.73-4 包通过 DH 算法产生可以密钥1 给 isakmp phase 1 阶段使用2 给 ISakmap phase2 阶段使用5-6 包验证对等体的身份，建立 isakmp sa1 共享密钥2 CA3 NO-nonceMM 模式下要配置参数在1 cryipsec isakmp key cisco address X.x.X.X-配己置共享密钥2 authentication 方式：presharekey CA 等3 加密类型 des 3des aes4 hash md5 sha-15 D

6、H 1,2.7第 1-2 个数据包1作用（1）通过数据包源地址确认对端体的和合法性。（2）协商 IKE 策略2.第一个包的格式10000000 10.0.0.110.C.0.ZI5AKXP19OIdefinty Protection(Main Node通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KE 溜码 address IP中的 IP 是否相等验证合法性。相等就接收设个包，不相等就丢弃。通过上面的图可以看出是协商后的策略丄neerrwe s (1J；dyf&iavfindorID(13)Payload lergih: 60Domjiri of imterpre

7、tati on; IPSEC tl)F situation; 00000(X)1F Typt= Payload: PrnposB 2) * 1 MEXL payload: hKHNF . Mn Next Payload (0paylcid la.-igtti： 4& prop at al mbtnbr:丄Protocol IO：IEAIWP ClSFIsize: 0Proffljfll trflnfnrns：1=i Tyip* PaylcRd: Trurtfcm (1) i I+ Tr anstam ilTr dm f jfrti ?l 17dnsfUrriTranifomiTrans

8、form匸Ti-nfTTTHEAttrbuttTypeTkAltrJbuLvTypH1KLALEr1LuTyp IKIAixrlburcTypeIKEAttributeTypeTifFitrr-ih.FPTypeCr-1,1=2J Encrypton-i gorithm : AE5-CBC(1=14,1=2)bfriyth : 128(1=2,12) Hi&t -47gDI I Lhll : Sl-A(i-4,1-21 Agp OcccrlptTan : ucfauRT6Erlt卜唱厲group(t*3,1-2) Authcnt- cation Met hoc : P5K(t-11hl

9、=?) I Iff-T/pe : Sermc通过上图可以看出，模式是主模式，载荷类型是 SA，数目是一个，内容是IKE 策略3.第二个包h inisrntei mr Ry -yucJ込 LIMId Ky号电川誉ill proiotulinitiator cookie; cfO2i；5fna9 5b3JRepnndrcookiP: 1 3r.i%pfidfNext pR：lcijid：vers ion:1.Secur i t y issori ationExchange type : I dent-tyFTa recti in (Main kode) C2Flags: oxoiM占g巴IO: O

10、JCOOOO&OOOznqE K酉(Typc payoad; Security 4ssociatian (l；iNPKTpayload:vendor TDpay!o*d length： &0Doradn of Interpretafion:IPSEC(I) S-ituation: 00000&01Type Fay 1口a.d ： P口posal 2 #1 Next payluad:MUNk No Ntxt P闻4L payload Payloadlenqrti; 40Tranf nrti ntjrhip-r t 1TrHiisrorraHTrapisfom iTrisf

11、qrn + Tra：7 5f nrn:七Traf口11 irrarifarnTra.-*st3rn：D：IKbIKE_K-TKF亠2KErKFKE匸DCF pe : seccridj fr-LJ. l-i) -ff*XjraCion :1payloid:NONE:NO第3-4个数据包1作用(1)通过协商 DH 产生第一阶段的密码。2 第三个包格式EJ internet security Association and Key Management protocoI initiator cookie: cf02326f14a95b51Responder cookie: 18al09f89219S

12、dfNext payload: Key Exchange (4)Version 1 1.0Exchange type: identity Prorectior (Main Mode) (2)E Fl ags : 0 x00Message ID：OxOOQOOOOOLength; 272Type pyload: Key ExcbangG (A)Next payload: Nonce (10)Pay!aad length: 100Key Exchange Data: 3bceO3faael89d2bl51a4d527d6L22a23ba7fbl344d40fl4b. - TypePayload:

13、Nonce CtOjNEXV payluad：Vendor ID (13)Pay!oad 1ength: 24NonceDATA: 6ea7c7ed3ca33835588Olb4b32a5abal613O7765E Type payload：vendorID(X3) :CISCO-UNZTY1,0Next pay!oad: vendorID(工壬)Rayload length: 20Vendor ID：12f5f38c45716aa97G2d9fe274cc0100 vendorID: cis匚CISCO-UNIT Major version: 1CISCO-UNITYMinor versio

14、n: 0E Type Payload: vendor ID CL巧:RFC 3706 DFD (Dead Peer Detection)NtxT payoad: vendor ID (13)Pay load ength! 20vendor ZD：afcad7136Balflc96b&96fc77570100Vendor ID: RFC 3706 DPD CDead Feer Oetecfi on)I Type Payload: vendorID(13) : UnknoNn VendorIDNext payoad; vendorIDCL3)Payload ength: 20Vendor

15、ID：3ac595214iiB5b93db6a5O9B&9fdb33QvendorID: unknown vendorIDE Type Payload: vendorID11) :XAUTHNext paylOAd: NAT*Di scovery 15)Payload ength: 12vendor io: 00026fl5dfd6b712vendorID:XAUTH匕Typ色Payl oad: NAT-D-! scovery Cl5Next payoad: NAT-Discovery (15)Payload ength: 24HA5HQF th address and port;cb

16、c7d7C9fe93d4da3ce!25bl斗工HSZFapF Type Paylosd：NAT-Dscovery (15)NAXT psyl oarl: NONf /NONAKT payl oar! (D)Payload length: 24HASH of the address and port: 6db4442claf0b63d93334e3a0cbSacl9f;&04eca4从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。说明：DH 是一种非对称密钥算法，基于一个知名的单项函数，A=Ga mode p 这个函数的特点是在 G 和 p 很多的情况下已知 a 求 A 很容易，

17、反之基本不 可能。关于这个算法详情可以参考网络上的相关文章。IPSEC 就是通过这种方式，协商密钥的。有了这个秘密就可以通过衍生算 法得到密钥和 HMAC 吃了 IKE 的密钥，感兴趣的密钥也从这个密钥衍生 出来的，所以说这个密钥是 IPSEC 的始祖。3.第四个包基本这第三个相同第 5-6 个数据包从上图可以看出，模式只主模式，载荷联系身份认证，FLAGS 这个开源参考 IETF IP 安全标识数据的特定细节。（这些已经比较难了）3.第六个包格式-internet security Association and Key Management Protocol Initiror cooki

18、t: cf02 526f 14a5b9JI Next payl od: idenxlfl cation5) version: l.uExchange type!肛吕色旺代甘p”t色icn LMRnMEJOZH Flags i 6x01. 1 = t ficwt i oj?：E口匚厂ypt主5.QHtQIDIHlT;NQtomniit. 0”, - Auxhenxication:NOauthenti匚eirJ口门MessageID:0 x00000000Length: 76EncrypTed(46 byres说明此文档只是验证了共享密钥的验证方法，证书验证在以后的文章中给出第二阶段快速模式3个包

19、1 对 MM 模式的 IKE 参数做加密验证2 交换 IPSEC 转换集一 transformer-set3 接受者确认发起者提出的参数，并建立 ipsec sa1作用在安全的环境中协商处理感兴趣流的策略。主要包括：(1) 感兴趣流(2) 加密策略(3) 散列函数(4) 封装协议(5) 封装模式(6) 密钥的有效期2. 第一个包发送方会把感兴趣流和相关的 IPSEC 策略发给对方， 有对方选择合适的策略。：=internet security Association and艮oy Management Protoco I工ni ti aror cook5e:cf02326f145b9 3于89

20、219e3dfN住paylomcl: UH与H (E)Version: l.QExchange ype; Qu4ck Mode (2) |S Flags; 0 x01.1 Encryption: Encrypted.0_= commit:NOcommit.* . 0-, = Atilhenfi cafi or :NOaux he m i c ax 1 o n MessageID:OxCrF2b了县忑2Length: 220从上图可以看出模式是快速模式，类型是 HASH 载荷，已经是安全环境 了。由于是加密的数据，所以在这里看不出具体的内容。3.第二三个包日internet security A

21、ssociation and Key Management Protocol mi ti ator cooki e:cf02326f:L4a95b93Responder cookle: L8aL09f89219e8dfNext payload: nash甘)versi on: 1* 0Exchange type: Quick Mode32)L Flags: 0 x01.* *. ,.1 = Encryption: Encrypted0*= Commit:MOcommit.0* - Authentication:MOauthentication卜栏刍sage ID: 0 x0F2b7862Len

22、gth: 220Encrypred Dara (192 bytes)-internet security Association and Key Management Protocol工口itiaror cookie:cf02326f145b3Responder cookle: 16al09fB?21SeBdfNext payload: Hash version: 1_ 0Exchange type: Qu*lck ModeI- Flags: 0 x01.1 = Encryprlon: Encrypted.0-业commit:NOcommit.0.- = Authentication: kc uthent i cation iGssageID: 0 x0f2b7B62Length: 60匚口crypted Data (32 bytes5由于是加密数据包在