版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
实验八IPSec实现安全通信【实验目的】了解IPSec主要协议;理解IPSec工作原理;掌握Windows环境下利用IPSec在两台主机间建立安全通道的方法。【实验环境】两台以上装有Windows2000/XP/2003操作系统的计算机,其中必须有一台为Windows2000/2003o【实验原理】IPSec作为一套标准的集合,包括加密技术、Hash算法、Internet密钥交换、AH、ESP等协议,在需要时还可以互相结合。IPSec是基于OSI第三层的隧道协议,第三层隧道协议对于OSI模型的网络层,使用包作为数据交换单位,将IP包封装在附加的IP包头中,通过IP网络发送。IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用为IP层协议及上层协议提供以下几种服务:数据源验证,确保收到的数据的发送者为实际发送者;数据完整性,确保数据在传输过程中未被非法篡改;抗重播保护,防止数据被假冒者复制存储并重复发送;信息的机密性,确保数据在传输过程中不被偷看。IPSec定义了一套默认的、强制实施的算法,以确保不同的实施方案可以共通。IPSec包含四类组件:IPSec进程本身验证头协议(AH)或封装安全载荷协议ESP;Internet密钥交换协议(IKE,InternetKeyExchange),M行安全参数的协商;SADB(SADatabase),用于存储安全关联(SA,SecurityAssociation)等安全相关的参数;SPD(SecurityPolicyDatabase),用于存储安全策略。(1)IPSec的工作模式在IPSec协议中,无论是AH还是ESP,都可工作于传输模式(TransportMode)和隧道模式(TunnelMode)。①传输模式,传输模式主要为上层协议提供保护,即传输模式的保护扩充到IP分组的有效载荷。传输模式使用原始的明文IP头,只加密数据部分(包括TCP头或UDP头),如图8-1所示。传输模式的典型应用是用于两个主机之间的端到端的通信。
土脚:应始[P头IPSec数维图8-1IPSec传输工作模式②隧道模式,与传输模式相比,隧道模式对整个小分组提供保护,整个IP数据包全部被加密封装,得到一个新的IP数据包,而新的IP头可以包含完全不同的源地址和目的地址,因此在传输过程中,由于路由器不能够检查内部IP头,从而增加了数据安全性,如图8-2所示。隧道模式通常用于当SA的一端或两端是安全网关,如实现了IPSec的防火墙或路由器的情况。瓯炯散撕报原枷头 醐新敝据报 ―慕E― 忌 原蛤1P头 赢「图8-2IPSec隧道工作模式(2)IPSec的主要协议①AH协议,验证头是插入IP数据包内的一个协议头,如图8-3所示,以便为IP提供数据源认证、抗重播保护以及数据完整性保护。AH头ip头AH头ip头负载(TCP|DATA)下一个头 负载长度 保留(Reserved)安全参数索引 (SPI)序列号(SequenceNumber)认证数据(AuthenticationData) -完整性检验值 (IntegrityCheckValue)(长度可变)― 32bit —图8-3AH协议头格式验证头不提供机密性保证,所以它不需要加密器,但它依然需要身份验证器,并提供数据完整性验证。②ESP协议,封装安全载荷是插入IP数据包内的一个协议头,如图8-4所示,以便为
IP提供机密性、数据源认证、抗重播以及数据完整性保护。填充长度下图8-4ESP协谀数据格式认证数据(长度可变)③因特网密钥交换协议(IKE)用于动态建立安全关联(SA),IKE以UDP的方式通信,其端口号为500。IKE是一个混合协议,使用到ISAKMP、okley密钥确定协议(基于DH协议)和SKEME协议。IKE分为两个阶段:第一阶段建立IKE本身使用的安全信道而协商SA,主要是协商“主密钥”;第二阶段,利用第一阶建立的安全信道来交换IPSecSA。(3)IPSec协议的实现IPSec的工作原理类似于包过滤防火墙°IPSec通过查询安全策略数据库SPD来决定接收到的IP包的处理,但不同于包过滤防火墙的是,IPSec对IP数据包的处理方法除了丢弃、直接转发(绕过IPSec)外,还有进行IPSec的处理。进行IPSec处理意味着对IP数据包进行加密和认证,保证了在外部网络传输的数据的机密性、真实性、完整性,使通过Internet进行安全通信成为可能。在IETF的标准化下,IPSec的处理流程进行了规范。①IPSec外出处理,在外出处理过程中,传输层的数据包流进IP层,然后按如下步骤处理,如图8-5所示。
首先,查找合适的安全策略。从IP包中提取出“选择符”来检索SPD,找到该IP包所对应的外出策略,之后用此策略决定对IP包如何处理;否则绕过安全服务以普通方式传输此包。其次,查找合适的SA。根据安全策略提供的信息,在安全联盟数据库中查找该IP包所应该应用的SA。如果该SA尚未建立。则会调用IKE,将这个SA建立起来。此SA决定了使用何种协议(AH或ESP),采用哪种模式(隧道模式或传输模式),以确定了加密算法,验证算法,密钥等处理参数。最后,根据SA进行具体处理。②IPSec流入处理,在进入处理过程中,数据包的处理如下步骤执行,如图8-6所示。不存在<IPS甑头没有不存在<IPS甑头没有存在进行]PS甑处理图8-6 IPSec数据进入处理流程首先,IP包类型的判断进行]PS甑处理图8-6 IPSec数据进入处理流程首先,IP包类型的判断:如果P包中不
I盾寇,会阪「下面的处理。Sec头,将该包传递给下一层;如果IP包中包含了其次,查找适合的$人:从IPSec头中摘出SPI,议,然后利用<SPI,如果找到对应的SA迎头中摘出目的地址和IPSec协目的地址,协议>在SAD中搜索SA。如果SA搜索失败则转入以下处理。就丢弃该包。再次,具体的处理。IPSec处理,根据找到SA对数据包执行验证或解密进行具体的IPSec再次,具体的处理。话束最后,策略查询:根据选择符查询SPD,,根据此策略检验IPSec处理的应用是否正确。最后,将IPSec头剥离下来,并将包传递到下一层,根据采用的模式,下一层要么是传输层,要么是网络层。【实验步骤】IPSec协议是在公共IP网络上确保通信双方数据通信具有可靠性和完整性的技术,它能够为通信双方提供访问控制、无连接完整性、数据源认证、载荷有效性和有限流量机密性等安全服务。Windows系统中提供构建IPSec安全应用的所有组件。首先配置Web服务器和客户端主机网络:服务器主机A:WindowsServer2003,IP地址是/24,安装Web站点并测试成功。测试主机B:Windows2000/XP/2003/Vista,IP地址是/24,测试与主机A访问成功。IPSec技术保证应用层服务访问安全主要有以下几个步骤:.在服务器主机A、B上安装并配置IPSec;.在服务器主机未启用或启用IPSec的情况下进行测试。(1)配置服务器主机A的IPSec①建立新的IPSec策略步骤1:单击“开始”一“所有程序”一“管理工具”一“本地安全策略”,打开【本地安全设置】窗口。步骤2:在【本地安全设置】窗口左侧对话框中右击TP安全策略,在本地机器”一“创建IP安全策略”,如图8-7所示。图8-7创建IP安全策略步骤3:在【欢迎使用IP安全策略】窗口中单击“下一步”按钮。步骤4:在【IP安全策略名称】窗口中输入名称和描述信息、(本实验中的策略名称为新IP安全策略A),单击“下一步”按钮。步骤5:在【安全通信请求】窗口中取消“激活默认响应规则”复选框,单击“下一步”按钮。
步骤8:在【完成“IP安全策略向导”】窗口中取消“编辑属性”默认选项,单击“完成”按钮,打开【新IP安全策略A属性】窗口,如图8-8所示。新IF安全策略A届性规则|常规]嘉和其它计算机通讯的安全规则
IF安全规则(X):主机到主机实现IPSec安全通信),如图8-10所示。W筋选器列表 I蔬选器操作□默认响应KerberosI身份验证方法图8-8创建新IP安全策略A②添加新规则步骤1:在【新辟安全规则A属性】.窗口中取消#用添加向导萨选项W筋选器列表 I蔬选器操作□默认响应KerberosI身份验证方法图8-8创建新IP安全策略A②添加新规则步骤1:在【新辟安全规则A属性】.窗口中取消#用添加向导萨选项Jj再单击“添加”按钮,如图8-8所示。确定|步骤2:在【新规则属性】窗口中的-IP筛选器列表”选项卡中选中“所有IICMP通信”单击“添加”按钮,出现【IP筛选器列表】窗口,如图8-9所示。?|x|IF蔬选器列表|催选器操作]身份验证方法|隧道设置|连接类型]工 所选的IF蔬选器列表指定了哪个网络传输将爰此规则M 彩响。IF蔬选器列表(1):名称©。所有IF通讯所有ICMF通讯描述适用于该计算机与任何其他计...适用于该计算机到任何其他计...图8-9添加新的过滤器③添加新过滤器步骤1:在【IP筛选器列表.窗口中输入筛选器的名称,并取消搜用,添加向导'”选项,单击“添加“按钮。 |确定|取消|应用如|步骤2:在【IP筛选器属性】窗口中设置源地址和目标地址为特定的IP地址(本实验为IF筛选需屉性地址|协设|描述]目标地址⑭:|一个特定的IF地址 3IF地址⑧:|198.168.―0地址|协设|描述]目标地址⑭:|一个特定的IF地址 3IF地址⑧:|198.168.―0—:一4一
子网掩艳:I255T255.255.255图8-10设置通信源与目的地址步骤3:在【Ip筛选器属性】窗口中,j如图8-1^示,选择协议”选项长,选择“协议类型”为ICMP,单击“确定”按钮。步骤4:在【IP筛选器列表】窗口中单击“确定”按钮,返回【新规则属性】窗口,通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器,如图8-11所示镣辑祝则屉性?|x|IF谛选器列表|蔬选器操作|身汾验证方法|隧道设置]连接类型]M 所选的IF蔬选器列表指定了哪个网洛隹输将受此规则M 影响。IF茄选器列表(L):名称O所有ICMP通讯O所有IP通讯新ip怖选器列表1描述适用于该计篇机与任何其他计...适用于该计管机到任何其他计...与同蛆主机进行安全的xcmpjim图8-11激活新建的过滤器④规定过滤器动艇)...编辑堡)...步骤1:在【新规则属性】窗口中选择“筛选器操作”选项卡,取消“使用取消I选项,单击“添加”按钮,如图8-12所示。确定应用(A)步骤2:在【新筛选器操作属性】窗口中默认选择“协商安全”选项,单击“添加”按钮。步骤3:在【新增安全措施】窗口中默认选择完整性和加密”选项,选择节定义选项”,单击“设置”按钮,在【自定义安全措施设置】窗口中可选择AH或ESP协议及相应算法,如图8-13所示。新祝则尾性IF蔬选器列表蔬选器操作|身份验证方法|隧道设置|连接类型|X 选择的浦选器操作指定了此规则是否协商及如何来保证网貉通讯的安全。浦位器操作(I):名称描述。请求安全国选)接受不安全的通讯,但是请求...@新蔬选器操作A与同蛆主机进行安全的icmpjl信 1O需妻安全接受不安全的ili礼但总是话...。许可允许不安全的IF数据包经过。图8-12添加新筛选器动作自定义安全措冠设置指定此自定义安全措施的设置。厂数据和地址不加密的完整怪砌“宜完整秘登注(X):网-一~-~~~^—17数据完整性和加密(ESF)(£):完整性耸法更):(SHM V|加密算法廷):(3DES V|含话密钥设置:匚生成新密钥间隔四: 生成新密钥间偏俱):|100000KB堡) |3600 秒底)图8-13自定义安全措施设置步骤4:在【新增安全措施】窗口中单击“关闭”按钮,返回【新筛选器属性】对话框,确保不选择“允许和不支持IPSec的计算机进行不安全的通信呢单击“确定”按钮]步骤5:在如图8-11所示的【新规则属性】窗口中的“筛选器操作”选项卡中选中“新筛选器操作”并激活,如图8-12所示。⑤设置身份验证方法步骤1:在如图8-11所示【新规则属性】窗口中的“身份验证方法”选项卡中单击“添加”按钮,打开【新身份验证方法属性】窗口,选择“使用此字串(预共享密钥)”单选框,并输入预共享密钥字串“ABC”。步骤2:在【身份认证方法属性】窗口中单击“确定”按钮返回“身份验证方法”选项卡,选中新生成的“预共享密钥”,单击“上移”按钮使其成为首选,如图8-14所示。单击如图8-1定IPSec隧道单击如图8-1定IPSec隧道”。⑦设置“连接1步骤1:单击如图8-11所示【新规则属性】窗口中的“连接类型”选项卡,默认选择“所有网络连接”。步骤2:单击“关闭”按钮,返回【新IP安全策略A属性】窗口,如图8-15所示。步骤3步骤3:图8-16图8-16新IP安全策略设置完成配置服务器主机B的IPSec仿照前面对主机A的配置对主机B的IPSec进行配置。测试IPSec不激活主机A、主机B的IPSec进行测试分别在主机A、B上Ping...,要求对方主机可以Ping通。激活一方的IPSec进行测试步骤1:在主机A新建立的IP安全策略上单击鼠标右键并选择“指派”,激活该IP安全策略。步骤2:在主机B执行命令PING。步骤3:在主机A执行命令PING。激活双方的IPSec进行测试此时在主机A和主机B之间建立了一个共享密钥的IPSec安全通道,它们之间能正常Ping通并进行所有访问,如图8-17所示。如Web、FTP访问。而其他机器如主机C(2)则不能访问主机A和B提供的任何服务,从而可以保证主机A和B在公网上传输数据的安全。如果在主机C上运行第三方网络监听软件对主机A和B之间的通信数据进行捕获可以发现,捕获的都是加密的数据包,而不是明文数据包,也就不能从中得到用户名和密码等敏感信息。
感信息。(4)协议分析ESP步骤1:主机B对Ethreal工具进行设置,并启动使其处于捕包状态。步骤2:主机B打开cmd命令符窗口,执行ping命令。等待A回应后,停止Ethreal捕包状态,观察捕获的数据,如图8-18所示,记录ESP协议的类型,SPI值、序列号值以及判断ICMP数据包是否被加密封装。。(Untitled)-EtherealL1回FileEditViewGoCaptureAnalyzeStatisticsHelpSfStSt蠲螺1今扃x命昌1、才晞陌不但|gl]!MFilter:▼Expression...ClearApplyTime SourceDestination ProtocolInfo11.9760^ ISAKMIdentityProtection12.0347; ISAKMIdentityProtection12.0446; ISAKMIdentityProtection12.0458: ISAKMIdentityProtection12.0742; ISAKMQuickMode12.1332: ISAKMQuickMode12.1433^ ISAKMQuickMode12.1443; ISAKMQuickMode12.1445' ESPESP(SPI=0xddb5fZ89>* 1 11mero~~n~ive:~~64Protocol:ESP(0x32)>Headerchecksum:Oxf181[correct]Source:()Destination:()I w Joooc012009一ooor460)0oooc012009一o
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 四川省泸州市泸县五中2024-2025学年高一(上)期末生物试卷(含答案)
- 习作:我的家人 说课稿-2024-2025学年语文四年级上册统编版
- 钼产品深加工技术改造产能提升项目可行性研究报告写作模板-申批备案
- 广西壮族自治区南宁市2024-2025学年八年级上学期期末生物试题(无答案)
- 安徽省淮北市和淮南市2025届高三第一次质量检测历史试卷(含答案)
- 陕西省宝鸡市(2024年-2025年小学六年级语文)部编版期中考试((上下)学期)试卷及答案
- Unit 2 Making a Difference Developing ideas The power of good 说课稿-2023-2024学年高一英语外研版(2019)必修第三册
- Unit 1 developing the topic-Oral communication 说课稿 2024-2025学年仁爱科普版(2024)七年级英语上册
- 贵州黔南经济学院《数据结构Ⅰ》2023-2024学年第一学期期末试卷
- 新疆塔城地区(2024年-2025年小学六年级语文)统编版综合练习((上下)学期)试卷及答案
- 0-3岁婴幼儿心理发展知到智慧树期末考试答案题库2024年秋杭州师范大学
- (正式版)QB∕T 8049-2024 家用和类似用途微压富氧舱
- 学校信息中心述职报告(共3篇)
- 小说与散文的区别课件
- 景德镇绿地昌南里项目视频讨论会ua根据0108意见修改
- 豆腐的制作工艺及配方
- DB-T 29-202-2022 天津市建筑基坑工程技术规程
- 福建省社会体育指导员信息表
- DB51∕T 5060-2013 四川省预拌砂浆生产与应用技术规程
- 珠心算习题汇总(可以打印版A4)
- 设备润滑注油周期表.doc
评论
0/150
提交评论