Window系统中IPSec协议配置及数据包分析

1、一、传输模式的实现1.启动vmware建立两个 windows server 2003 虚拟机q Typa h«>rp-13 |004| Q.I g M i / Myi . !A：-nd«3Wva S.rwr 2003 £t»ndiird Edition i ? 'A ndcvYa Svmr JlDCkl 占E，rdlaind Esdififfl-i 2 W-ndwvk XP wcrftinio".二 JT W加2.蜡小面高二S而IP1:192.168.72.128IP2:192.168.72.132.新建本地安全策略IP安全策略

2、-1 （用作IPSec传输模式）3编辑安全策略-1的属性，新建IP安全规则4.设置安全规则的模式（传输模式）5.设置对所有网络连接都是用这个安全策略新建并设置IP 筛选器列表7.设置源地址为我的IP 地址，目标地址为192.168.72.1318添加筛选器操作，选用不同的加密模式9.设置共享密钥的密码。10 .完成，设置刚刚创建的规则为当前IP 策略的规则查看当前规则的基本信息11 .完成后，指派当前的安全策略。12 .在另一台机器上新建安全策略，将源地址和目标地址分别设为本机和192.168.72.128，设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全 相通不指派查看结果13.14.

3、指派一方IP 策略查看结果15. 双方指派IP 策略查看结果1.、隧道模式的实现添加两个筛选器列表2 .采用同样的方式设置筛选器列表in 和筛选器列表out 的操作3 .不同的地方是，指定 IP 为192.168.72.128， out 策略的隧道终点的IP 地址为 192.168.72.1314 . In策略的隧道终点为本身IP,指定IP为192.168.72.131 , out策略的隧道终点的IP地址为 192.168.72.128 In 策略的隧道终点为本身IP5.6.同时设置筛选器目标地址和源地址的IP规则：IP： 192.168.72.128筛选器out筛选器in源地址：本身目标地址

4、：源地址：192.168.72.131192.168.72.131目标地址：本身IP： 192.168.72.131筛选器out源地址：本身目标地址：192.168.72.128筛选器in源地址：192.168.72.128 目标地址：本身目标地址：本身指派双方的安全策略，查看结二 . 抓包分析isakmp 协议过程A. 第一阶段主模式原理分析MM 模式下：6个包 1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2包：双方互相提供可以实现的Isakmp参数 包括下面的内容1对端ip2 authentication 方式：presharekey CA 等3加密类型 des 3d

5、es aes4 hash md5 sha-15 DH 1,2.73-4包通过DH算法产生可以密钥1给isakmp phase 1阶段使用2给ISakmap phase2阶段使用5-6包验证对等体的身份，建立isakmp sa1共享密钥2 CA3 NO-nonceMM模式下要配置参数在1 cryipsec isakmp key cisco address X.x.X.X-酉己置共享密钥2 authentication 方式：presharekey CA 等3 加密类型 des 3des aes4 hash md5 sha-15 DH 1,2.7第1-2个数据包1 .作用(1)通过数据包源地址确认

6、对端体的和合法性。(2)协商IKE策略2 .第一个包的格式5.0000000 10.0.0.110.0,0.?I5AKXP190Idefltity Protection (Main Mode通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KE睹码address IP中的IP是否相等验证合法性。相等就接收设个包，不相等就丢弃。inter net sccur 1 ty assocI at 1 on and ktjy HanagcjnKni ProtocDl initlatGr cookic: cf0232 6T14a9Sb93 口号p0r4” cookie： Q(IOflDOD

7、OOQOOOO(X!%¥鼻七 paylcidd; 5scyrity ag,口匚inn (1) i 疟 fion:1一。|R-charigE 工VP1：工dEirrtlty Rrcit担cr"l口口 Eadn rcicc)Message ID: 0x0DODOJ00Lgth! 148h yypg pjy I cjjtJFHCur i ty Asbci dt lorf (1 j |payioaa： vendor id(13)Payload length：MDomain of interpretation: IPSEC (1)历 Situation; QOOODOOlF Type

8、 Pay!osd: Props十(？)# 1Next payload: NKDNE / hlo Nxt Pay load (0pay load leEngthipromos al imunib&r: 1Protocol ID; I5AKMP 1)SPI size* 0Proposal transferms： 1F Typf PJiyload; Trnsifern (?) - 1payload:： none. / mq n«xi Piyload (；)司Tr anstarnIKEAttribute Type代=1J=2JEncrypt!on-A gorithirt ; AE5-

9、CBC31Tr am5巾TKEAt tr1butv Type(t=14 J=2)Uty-L ijliyth ： 128±Trdrtsfur'riI KtAicr1bul电 Typ电(1=2 p1t2)HM7】gur im : skaTr anifomIKEAfcrlbuTC Type(t-JJ J-2)G”Mp Dftscrlptfan : ucfaulx '6e sir Mct> group7Trwn5f口rmIKEAttribute TypeAuthcntication Method : F5K司T” an肝-riTKFAttribure Type:11t&

10、quot;=1 1 J 二r )1 iff-Tpe t SernnriiTbAnqfnrrr Tn： KFY TKFTransform nuntierPmyloQ length： 40通过上图可以看出，模式是主模式，载荷类型是 SA,数目是一个，内容是IKE策略。3 .第二个包liilRrrlHl iemr lly asAUcljLlur *'d M*r *9111111 Pr口Linitiator cookie: cfO2J25fiia95bsJResponder cooki e : 18alOfS9219eMfNext pavl cfld ： 5ecur i t y ds手口匚&q

11、uot;i mt"i 口口 (1) vers ion: 1.oekc1rlange type: Id史ntpy Fr口七已:in (MaJn /qdeli 2：)t flags： oxao岫芒士士看乎 IO: OjcOOOO&OOOLength: IQ遇一|Typ& Puylnaid; Security 45%口匚itrd口门(5npkt payload： vendor id (13payloid length： &oDorain of int erpret all on: jPStC (1)Z Situation: OOOOOOT1Type Fay 1 oa

12、d t Pir oposal (2)# 1Next pay! mad : 3忖k - Mu Ntxt Bay】ud (0)Payload IcngTh: 4BProposal nuuhi史广：1Protocol id： 丁saktp (1)SPI Size: 0Proposal transferT5： 1F Type Payload: Transform (B)用 1Nwzt. paylEJid: Ncbik :ptayload (0)Payl oad lengcti: 40Tranf rurn nurhf-r ： 1Transforii im Trails font i« Tron

13、sforn 库 Transforn t± Trarsforra ii rrarfarnTramEID： IKt _K. 工KE TKE 1K£ IKE IKEKEY.TKE t Atirfbuce AElbus AttributP Att r i but gAttributeAttribute第uee电史史-Zj Encrypi1on«AJgorixhti : ajes-c&c(T*L4.1*Z) Key-LengTh : IZH(t=?BT=2) Hash-Algorithm : 5HA(t=4-, 1 =2 J Group -Descript i on

14、 : Default 76E -b i t 廿门口户 group(t - J a 1 -2) AJJ£h HT1 cat 1 O r -M £t h Dd ： PSK(t-lib1-2) Llf« Type : seconds(r-12.I) Lif«-DuratTon - 1通过上面的图可以看出是协商后的策略第3-4个数据包1 .作用(1)通过协商DH产生第一阶段的密码。2第三个包格式EJ internet security Association and Key Management protocol initiator cookie: cf0232

15、6f14a95b51 Responder cookie: 18al09f89219Sdf Next payload: Key Exchange (4) Version 1 1.0Exchange type: identity Prorectior (Main Mode) (2)E Fl mg写;0x00Message ID：。必000000ULength; 272Type pyload: Key ExcbangG (H)Next payload: Nonce (10)Pay!aad length: 100Key Exchange Data: 3bceO3faael89d2bl51a4d527d

16、6L22a23ba7fbl344d40fl4b.- Type Payload: Nonce (10)NexV payluad： Vendor ID (13)Pay!oad length: 24Nonce data； 6ea7c7ed3ca33835588Olb4b32a5abal613O7765E Type payload： vendor id (X3) : cisco-unzty 1,0Next pay!oad： vendor id (工？) Payoad length: 20Vendor ID： 12f5f38c45716aa97G2d9fe274cc0100vendor id: cisc

17、o-unitycisco-unit Major version: 1 cisco-unity Minor version: 0E Type Payload: vendor ID (IM) : RFC 3706 DFD (Dead Peer Detection) NtxT pay' oad: vendor ID (1” Pay load ength! 20 vendor ZD： afcad7136Balflc96b&96fc77570100Vendbr ID: RFC 3706 DPD (Dead Feer Uetection)I Type Payload: vendor id-

18、 (13) : UnknoNn Vendor id Next pay'oad; vendor id CL3) Payload 'ength: 2。Vendor ID：85b93db6a509859fdb炎。vendor id: unknown vendor idE Type Payload: vendor id <11) : xauthNext paylOAd: NAT*Di scovery (15)Payload 'ength: 12 vendor to: 00026fl5dfd6b712 vendor id: xauth|二 Typ电 Payload: NAT

19、-D-!scovery 115)Next pay"oad： NAT-Discovery (15)Payload 'ength： 24HA5H qF th七 address and port;cbc7d7C9fe93d4da3cel25bl4155；raeF Type Paylosd： NAT-Dscovery (15)NaxT psyl oarl: N门NF / no NakT payl oar! (0)Payload length: 24HASH of th address and port1 6db4442claf0b63d93334e3a0cbSacl9f;S04eca

20、4 从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。说明：DH是一种非对称密钥算法，基于一个知名的单项函数，A=Ga mode p这个函数的特点是在G和p很多的情况下已知a求A很容易，反之基本不 可能。关于这个算法详情可以参考网络上的相关文章。IPSEC就是通过这种方式，协商密钥的。有了这个秘密就可以通过衍生算 法得到密钥和HMAC吃了 IKE的密钥，感兴趣的密钥也从这个密钥衍生 出来的，所以说这个密钥是IPSEC的始祖。3.第四个包基本这第三个相同第5-6个数据包1 .作用这个过程主要任务是认证。（通过1-2和3-4的协商已经具备策略和密钥所以这 个阶段已经在安全环境中进行了）2 .第

21、五个包的格式-int&rn&t security Association and K&y Management Protocol Initiator cookie： cfO2326f14aQSbQSNext payload: identification (5)version: 1_ 0exchange type: |idenriry Prorecti on (Main Mode (2)B Flags; QxQl .二1 =- Encryprion： Encrypred* * * *"".- commit: no comnnt. 0. 工 Aut h

22、ent i cation: No authenticationMessage ID： OxOOOOOOOCLength: 108Encrypted Data (SO bytes)从上图可以看出，模式只主模式，载荷联系身份认证，FLAGS这个开源参考IETF IP安全标识数据的特定细节。(这些已经比较难了)3.第六个包格式-internet security association and Key Management Protocol Initiror cooki t: cfO2426fl495bqMI Next payload: idenxlfl cation version: i.uExc

23、hange type! fr-rvcie prot虹tidn LMann 力下口2ji日 Flags i 6x01_1=忙 FKrvDti0"：E"urypt£d 10. H tQIDIHlT; nq tomniitO.-Auxhenxication: n。 authenticationMessage id: 0x00000000Length: 76Encrypred Ddxa (46 byies说明此文档只是验证了共享密钥的验证方法，证书验证在以后的文章中给出第二阶段快速模式3个包1对MM模式的IKE参数做加密验证2 交换 IPSEC 转换集一transform

24、er-set3接受者确认发起者提出的参数，并建立ipsec sa1.作用在安全的环境中协商处理感兴趣流的策略。主要包括：(1)感兴趣流(2)加密策略(3)散列函数(4)封装协议(5)封装模式(6)密钥的有效期2 .第一个包发送方会把感兴趣流和相关的IPSEC策略发给对方，有对方选择合适的策 略。：=internet security Association and Kty Management Protoco IInitiator cook5e: cf02326f145b9389219e3df-xt payload: Xa与 (E)yer-i口n: 1QE-hangR Eypp; Qirick

25、 Mpde <32)S Flags; 0x011工 Encryption: Encrypted0_ = commit: no commit. .0. = Atilhenfi earn or : no aux he m i c ax 1 o nMessage id: OxCrF2b7B62Encrypted Data 192 bytesJLength: 220从上图可以看出模式是快速模式，类型是 HASH载荷，已经是安全环境 了。由于是加密的数据，所以在这里看不出具体的内容。3 .第二三个包B internet security Association and Key Management

26、 Protocol rni t1 ator soklc: cf02326fl4a95b93 Responder cookih: L8aL09f89219e8df Next payl oad; riash versi on: 14 0 Exchange type: Quick Mode (S2)i= Fl ags1 0x01.«. , . .1 = Encrypr i on r EncrypredU.=conrrait: mocommit."Authentication:mo authenficationMessageID:OxOF2b7862Length:220Encrypred Dara (192 bytes)-internet security Association and Key Management Protocol initiaror cookie: cf02326f145b3 Responder cookle: 16al09fB?21SeBdf Next payload: Hash (M)