實驗一 常見對稱密碼算法的加解試驗

1、實驗一 常見對稱密碼算法的加/解試驗1. 實驗目標u 對比了解常見對稱密碼算法的強度；u 了解對稱密碼算法的工作方式。2. 考核點u 常見對稱密碼算法的強度比較；u DES算法的弱密鑰；u 對稱密碼算法的工作模式CBC。3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境有Apocalypso.exe的Windows XP/2000/2003等（此軟件不需安裝）。4. 實驗要求（1）使用Apocalypso.exe分別完成DES加密、DES雙重加密、Rijndae

2、l（AES）加密等加密試驗；（2）通過對比使用，說說你對DES和AES的直觀認識！5. 實驗要點與注意事項u 仔細觀察實驗現(xiàn)象，認真思考現(xiàn)象背后的原理；u 為使實驗對比效果更加明顯，建議待加密的“明文”為全零；u DES算法僅支持ASCII碼；u 通過試驗對比DES和AES算法的強度。實驗二 Hash函數(shù)實驗1. 實驗目標u 了解Hash函數(shù)的技術特征及相應的用途；u 體會為什么把文件的Hash值稱作該文件的“指紋”。2. 考核點u Hash函數(shù)的技術特征和用途；u 信息“完整性”的校驗方法。3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u R

3、AM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境裝有Win_MD5.exe的Windows XP/2000/2003等（此軟件不需安裝）。4. 實驗要求（1）完成文件的“完整性”校驗實驗；5. 實驗要點與注意事項u 輕微改動明文內(nèi)容，仔細對比試驗結(jié)果，體會密碼算法的“雪崩”效應；u 可對大塊文件進行Hash運算，體會對稱算法的“速度”優(yōu)勢；u Hash函數(shù)對文件完整性的驗證是如此的有效，在眾多UNIX和Linux中都有實現(xiàn)，感興趣的同學可以用“md5sum”命令在UNIX和Linux中測試。實驗三 口令猜解實驗1. 實驗目標u 掌握口令的猜解技巧；u 通過試驗

4、總結(jié)“健壯的口令”應滿足的條件。2. 考核點u 何謂“健壯的口令”；u 通過試驗體會“字典攻擊”、“窮舉攻擊”。3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境安裝有Advanced RAR Password Recovery或LC5的Windows XP/2000/2003等。4. 實驗要求（1）完成“字典攻擊”和“窮舉攻擊”實驗；（2）體會“社會工程攻擊”在口令猜解中的應用。5. 實驗要點與注意事項u 仔細觀察實現(xiàn)現(xiàn)象，思考體會“密鑰空間”的概念；u 在使

5、用字典工具生成“字典文件”是，一定要注意字典文件的大??；u 通過多次的試驗，總結(jié)口令猜解的技巧，體會其中“社會工程攻擊”的思想。實驗四 公鑰技術相關實驗1. 實驗目標u 通過數(shù)字簽名、驗證、加密和數(shù)字信封等試驗，掌握公鑰技術的應用。2. 考核點u 數(shù)字簽名、公鑰加密和數(shù)字信封；u 對信息安全中“機密性”、“完整性”和“不可否認性”的認識。3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有GB或以上的空余磁盤空間。（2）軟件環(huán)境裝有Adobe Acrobat 7.0/8.0 Professional的Wi

6、ndows XP/2000/2003等。4. 實驗要求（1）創(chuàng)建“自簽名證書”，并秘密保存；導出與私鑰對應的個人公鑰，公開給自己的合作者；（2）私鑰簽名試驗：用自己的私鑰簽名一個PDF文檔并公布；思考：怎么識別簽名？（3）公鑰驗證試驗：拿到含有簽名信息的PDF文檔，任何人都可以用簽名者的公鑰來驗證其簽名；思考：怎么才能拿到簽名者的合法公鑰？可信中心還是其它？（4）用合作伙伴的公鑰和自己的私鑰結(jié)合，加密一個PDF文檔，看看都誰能打開它？是怎么打開的？（5）完成“數(shù)字信封”綜合試驗：加密、簽名、驗證。5. 實驗要點與注意事項u 私鑰一定要秘密、可靠地保存（要額外備份），并且保護私鑰的口令不能太簡單

7、和泄露；u 私鑰和公鑰成對使用，一個加密，另一個用來解密；u 公鑰應該有“信任”級別。實驗五 Windows IPsec試驗1. 實驗目標u 了解IPsec的體系結(jié)構；u 掌握IPsec篩選器；u 了解IPsec典型應用；2. 考核點u IPsec的部署與應用；u AH與ESP 的保護方式u IPsec主機到主機的應用模式；3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：1024MB或以上；u 硬盤：至少有10GB或以上的空余磁盤空間。（2）軟件環(huán)境VMware Workstation 6.0、Windows Server 2003

8、Enterprise Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）實驗拓撲圖3-1 Windows IPsec試驗拓撲（4）實驗環(huán)境準備（可借助上一個試驗環(huán)境）：CA：安裝Windows Server 2003 Enterprise Edition，配置IP信息，安裝域控制器，并升級域功能；Web：安裝Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的計算機，并安裝微軟自帶的網(wǎng)絡監(jiān)視器（Net

9、work Monitor）；l 配置IP信息，安裝IIS；l 創(chuàng)建用于測試的Web站點，（常規(guī)Web，最好與CA的DNS相結(jié)合）。PC：PC是一部運行Windows XP Professional的計算機，當作IPsec客戶端；4. 實驗要求及實驗步驟方案一：使用基于“預共享密鑰”認證的IPsec的傳輸模式（本試驗側(cè)重于IPsec篩選器的使用）預備前提：在PC中分別用ping命令和IE測試DNS的正常解析及Web的正常訪問，并使用網(wǎng)絡監(jiān)視器來捕獲和分析網(wǎng)絡傳輸?shù)拿魑臄?shù)據(jù)；PC：IPsec客戶端（我們一般習慣于客戶機訪問服務器的思維過程，因此先在客戶端上配置更易上手），具體操作步驟如下：（1）打

10、開本機的“IP安全策略管理”和“IP安全監(jiān)視器”，配置符合試驗要求的安全策略。具體如下：【開始】【運行】【mmc】【文件】【添加/刪除管理單元】【添加】【IP安全策略管理】【添加】，在此處，我們選擇“本地計算機”并完成操作。添加【IP安全監(jiān)視器】【添加】【關閉】【確定】。（2）在控制臺根節(jié)點的“IP安全策略管理，在本地計算機”中，右擊選擇“創(chuàng)建IP安全策略”，在彈出的“IP安全策略向?qū)А钡膸椭拢徊讲絼?chuàng)建所需的IP安全策略；（3）在“IP安全策略向?qū)А睂υ捒蛑械摹癐P安全策略名稱”頁面的“名稱”框中填入合適的（見名知意）IP安全策略名稱，如“Allow PC Ping Web”，如下圖3-2

11、所示：圖3-2 IP安全策略名稱（4）下一步，在【IP安全策略向?qū)А繉υ捒虻摹鞍踩ㄓ嵳埱蟆表撁嬷腥∠凹せ钅J的響應規(guī)則”復選框；（5）下一步，在“IP安全策略向?qū)А睂υ捒虻摹罢谕瓿蒊P安全策略向?qū)А表撁嬷羞x中“編輯屬性”復選框；（6）完成IP安全策略向?qū)У氖褂?，在彈出的如圖3-3所示的IP安全策略屬性對話框中，在“常規(guī)選項卡”中取消“使用添加向?qū)А睆瓦x框，并單擊“添加”按鈕，添加自定義的“IP安全規(guī)則”；圖3-3 創(chuàng)建新IP安全規(guī)則（7）在彈出的如圖3-4所示的“新規(guī)則屬性”對話框中的“IP篩選器列表”選項卡中，單擊【添加】按鈕；圖3-4 創(chuàng)建新篩選器列表（8）在彈出的如圖3-5所示的“

12、IP 篩選器列表”對話框中的“名稱”選項，填寫合適的IP篩選器列表名稱，（如：Allow PC Ping web Filter List），取消“使用添加向?qū)А睆瓦x框，并單擊【添加】按鈕；圖3-5 添加IP篩選器（9）在彈出的如圖3-6所示的“篩選器 屬性”對話框中，在“尋址”選項卡，在“源地址”下拉列表框中選擇“我的地址”，在“目標地址”下拉列表框中選擇“一個特定的IP地址”，并在IP地址字段中填寫正確的Web服務器地址，并確?！扮R像”復選框有效；圖3-6 篩選器屬性地址對話框（10）在如圖3-7所示的“篩選器屬性”對話框中，在“協(xié)議”選項卡中的“選擇協(xié)議類型”下拉列表框中選擇ping命令所

13、需的“ICMP”協(xié)議；圖3-7 篩選器屬性協(xié)議對話框（11）在如圖3-7中的“篩選器屬性”對話框中，在“描述”選項卡中的“描述”字段中填寫合適的篩選器名稱，如：Allow PC Ping Web；確定，完成篩選器的創(chuàng)建。（12）如圖3-8所示，在完成的IP篩選器列表中，選中我們剛剛創(chuàng)建的IP篩選器列表，單擊“篩選器操作”選項卡；圖3-8 創(chuàng)建篩選器操作（13）在如圖3-9所示的“新規(guī)則 屬性”對話框中的“篩選器操作”選項卡中，取消“使用添加向?qū)А睆瓦x框，單擊【添加】按鈕；圖3-9 添加新的篩選器操作（14）在如圖3-10所示的“新篩選器操作屬性”對話框中，在“安全措施”選項卡，選中“協(xié)商安全”

14、復選框，并單擊【添加】按鈕；圖3-10 新篩選器操作屬性（15）在如圖3-11彈出的“新增安全措施”對話框中，選中“僅保持完整性”復選框，并單擊“確定”按鈕；圖3-11 新增安全措施（16）在“新篩選器 屬性”對話框中，在“常規(guī)”選項卡的“名稱”字段為篩選器操作填寫合適的名稱，如：“Allow P Ping Web With AH”，單擊確定，完成篩選器操作的創(chuàng)建。（17）在如圖3-12所示的“新規(guī)則 屬性”對話框中，在“篩選器操作”選項卡中，選中我們剛剛創(chuàng)建的篩選器操作，點擊“身份驗證方法”選項卡，圖3-12 創(chuàng)建身份驗證方法（18）如圖3-13所示在“新規(guī)則 屬性”對話框中的“身份驗證方法

15、”選項卡上單擊【添加】按鈕；圖3-13 添加新身份驗證方法（19）如圖3-14在彈出的“新身份驗證方法 屬性”對話框中，選中“使用此字符串（預共享密鑰）”并在對話框中填寫合適的“預共享密鑰”；圖3-14 預共享密鑰身份驗證（20）單擊“確定”，返回上一級選項卡，如圖3-15所示，在“身份驗證方法首選順序”框內(nèi)，上移“預共享的密鑰”為首選身份驗證方法，并應用；圖3-15 身份驗證方法優(yōu)先級（21）在“新規(guī)則屬性”對話框中的“隧道設置”選項卡，默認選擇“此規(guī)則不指定IPsec隧道”；（22）在“新規(guī)則屬性”對話框中的“連接類型”選項卡，默認選擇“所有網(wǎng)絡連接”；（23）至此，PC端的自定義的IP安

16、全策略設置完畢；只需右鍵選中自定義的策略，單擊“指派”即可。u Web：2003 web服務器端配置（1）打開本機的“IP安全策略管理”和“IP安全監(jiān)視器”，配置自定義的安全策略，具體方法同上；（2）在本機，創(chuàng)建自定義的IP安全策略，與在PC計算機上的配置相對應，配置方法同上，配置內(nèi)容概要如下：Allow PC Ping Web With AH，步驟如下：1）新建IP安全策略名稱：Allow PC Ping web；2）新建IP安全規(guī)則：Allow PC Ping Web；3）新建IP安全篩選器列表：Allow PC Ping Web Filter List；4）新建IP篩選器“Allow P

17、C Ping Web”，其屬性為；源IP目標IP協(xié)議鏡像我的PCICMP是5）新建篩選器操作：Ø 安全措施：協(xié)商安全；Ø 安全和加密選項：僅完整性；Ø 名稱：Allow PC Ping Web With AH；6）身份驗證方法：預共享密鑰（HeNanXinHua）；7）隧道設置：無；8）連接類型：所有網(wǎng)絡連接；（3）至此，Web端的自定義的IP安全策略設置完畢，“指派”使其生效即可。u Web：測試自定義的IP安全策略（1）ping測試：在第一次Ping過程中，會出現(xiàn)如下圖所示的協(xié)商過程和通信過程。若只有協(xié)商過程，則說明IP安全策略定義有不一致的地方，檢查并重新配

18、置。注意：若PC端打開了XP SP2自帶的防火墻，Ping不能成功。圖3-16 Ping測試AH的傳輸模式（2）網(wǎng)絡監(jiān)視器：如圖3-17所示，用網(wǎng)絡監(jiān)視器捕獲并察看數(shù)據(jù)傳輸過程?？梢郧逦乜吹剑簂 對等體在使用IPsec的AH傳輸模式保護通信傳輸之前，進行了“十次”協(xié)商；l IPsec通過添加“ESP”報頭保護了IP的上層協(xié)議ICMP；注意：IPsec不是使用是AH協(xié)議來“僅保持完整性”的嗎？怎么會是ESP呢？在圖3-11的“僅保持完整性”選項的背后，隱藏的實質(zhì)是用ESP協(xié)議的SHA-1算法來保持完整性的。若要使用AH協(xié)議的完整性保護，可在圖3-11的自定義選項內(nèi)選配。那么問題是：AH協(xié)議的完

19、整性保護和ESP協(xié)議的完整性保護，在安全上有什么區(qū)別呢？l “僅保持完整性”模式?jīng)]有加密IP的上層數(shù)據(jù)明文傳輸；圖3-17 網(wǎng)絡監(jiān)視器捕獲的IPsec數(shù)據(jù)包解析（3）IP安全監(jiān)視器：如圖3-18所示，打開控制臺根節(jié)點下的IP安全監(jiān)視器，可以看到整個IP安全策略的配置信息和傳輸細節(jié)的統(tǒng)計。因此，依據(jù)IP安全監(jiān)視器進行IPsec通信的排錯，是個不錯的選擇。圖3-18 IP安全監(jiān)視器的統(tǒng)計信息方案一 的進一步練習：目的在于熟練掌握IP安全策略的使用分別在PC和Web上自定義以下IP安全策略：（1）Allow PC Ping Web With ESP（在原來基礎上，只需改“篩選器操作”、“安全措施”中

20、的“僅保持完整性”為“加密并保持完整性”即可）；注意：每次IPsec策略改變之后，在測試時最好用網(wǎng)絡監(jiān)視器來捕獲通信過程，以從根本上驗證IPsec策略并對比分析IPsec協(xié)議的細節(jié)。此乃學習網(wǎng)絡的最佳之路。（2）Allow PC Access Web 80 With AH（在原來基礎上，只需改動“篩選器”的“協(xié)議”選項即可）；l PC端，IP篩選器“Allow Access Web 80 Filter”；源IP目標IP協(xié)議源端口目標端口鏡像我的WebTCP任意80是l Web端IP篩選器：IP安全策略定義完成后，要用IE和網(wǎng)絡監(jiān)視器來驗證源IP目標IP協(xié)議源端口目標端口鏡像我的PCTCP80任

21、意是（3）Allow PC Access Web 80 With AH&ESP（在2基礎上，只需改動“篩選器操作”中的“安全措施”即可）；（4）Allow PC Access Web 80 and Ping Web With AH&ESP（在原來基礎上，只需添加“篩選器”的“協(xié)議”選項）；方案二：使用基于“Kerberos V5”認證的IPsec的傳輸模式基于“預共享密鑰”認證方式的IPsec安全性最差，但卻擁有最廣泛的兼容性；當前在Window企業(yè)環(huán)境下，活動目錄已成為一種基本的部署，在沒有公鑰基礎設施的企業(yè)環(huán)境中，基于Kerberos V5認證方案IPsec已成為最佳選擇。

22、l CA：在CA的“Active Directory用戶和計算機”中，創(chuàng)建用于試驗客戶端PC的域管理員（Domain Admini）帳戶和成員服務器Web的域管理員帳戶；l PC：使本機加入域環(huán)境，用相應的域管理員帳戶登錄；檢查此用戶是否有配置本機的“IP安全策略管理”的權限，若沒有重啟系統(tǒng)并檢查域帳戶權限；l Web：使本機加入域環(huán)境，用相應的域用戶登錄；檢查此用戶是否有配置本機的“IP安全策略管理”的權限，若沒有重啟系統(tǒng)并檢查域帳戶權限；說明：兩個測試系統(tǒng)（Web和PC）必須是同一（或受信任）域的成員。參照試驗一的步驟，分別在PC和Web上創(chuàng)建相應的IP安全策略，例如：保護PC對Web服務

23、器TCP 80端口的訪問；僅把身份驗證方法設置為默認的Kerveros即可；注意：以前自定義的IP安全策略，最好全部刪除；l PC端：Ø 新建IP安全策略名稱：Allow Access web Policy；Ø 新建IP安全規(guī)則：Allow Access Web；Ø 新建IP安全篩選器列表：Allow Access Web Filter List；Ø 新建IP篩選器“Allow Access Web 80 Filter”：源IP目標IP協(xié)議源端口目標端口鏡像我的WebTCP任意80是Ø 新建篩選器操作：ü 安全措施：協(xié)商安全；

24、2; 安全和加密選項：加密并保持完整性；ü 名稱：Allow Access Web With ESP；Ø 身份驗證方法：默認Kerberos；Ø 隧道設置：無；Ø 連接類型：LAN；l Web端：Ø 新建IP安全策略名稱：Allow PC Access web Policy；Ø 新建IP安全規(guī)則：Allow PC Access Web；Ø 新建IP安全篩選器列表：Allow PC Access Web Filter List；Ø 新建IP篩選器“Allow PC Access Web 80”：源IP目標IP協(xié)議源端

25、口目標端口鏡像我的PCTCP80任意是Ø 新建篩選器操作：ü 安全措施：協(xié)商安全；ü 安全和加密選項：加密并保持完整性；ü 名稱：Allow PC Access Web With ESP；Ø 身份驗證方法：默認Kerberos；Ø 隧道設置：無；Ø 連接類型：LAN；方案三：使用基于“證書”的IPsec的傳輸模式由于活動目錄的協(xié)議復雜且需要開放很多的端口，因此IPsec并不適合保護域成員及其與控制器之間的通信安全；在部署有公鑰基礎設施的企業(yè)環(huán)境中，基于“證書”或“智能卡”認證是最安全的認證方案，基于證書的IPsec應用也就是

26、最安全傳輸保護方案。CA：（部分借助方案二的試驗環(huán)境，只需額外添加證書的自動頒發(fā)即可）啟用IPsec證書模板：在CA的“證書頒發(fā)機構”中右擊“證書模板”選擇“新建”“要頒發(fā)的證書模板”選擇“IPsec”，單擊確定，如圖3-19所示；圖3-19 啟用IPsec證書模板設置CA來自動注冊IPsec證書，請執(zhí)行下列步驟：1）在域控制器上，編輯“默認組策略”；2）在控制臺樹中，依序打開計算機配置、Windows 設置、安全設置、公鑰策略及自動證書請求設置；3）右擊“自動證書請求設置”，指向“新建”，再單擊“自動證書請求”，在“歡迎使用自動證書請求設置向?qū)А表撁嫔希瑔螕簟跋乱徊健?，在“證書模板”對話框中

27、，選中“IPsec”，如下圖所示；圖3-20 自動證書申請設置4）單擊下一步，在完成自動證書請求設置向?qū)ы撁嫔?，單擊完成。刷新組策略：l PC：（可借助方案二的試驗環(huán)境，只需額外添加證書的自動申請即可）Ø 重啟或刷新組策略；通過組策略申請IPsec證書；Ø 察看PC是否已獲得IPsec證書，察看方法：方法一：控制臺根節(jié)點證書計算機賬戶本地計算機，確定；打開“控制臺根節(jié)點”下的證書（本地計算機）個人證書下查看是否有計算機證書。有，說明證書已通過組策略自動分發(fā)，如下圖所示；沒有，可以在此處單擊右鍵，選擇“所有任務”“申請新證書”，使用“證書申請向?qū)А眮硗瓿勺C書申請；若還申請不到

28、，說明上面的配置出了問題，請重新配置。圖3-21 本地計算機證書控制臺方法二：在CA的證書頒發(fā)機構中，察看已頒發(fā)的證書中是否有VPN客戶端的用戶證書。按照前面的的試驗配置自定義IP安全策略，只把前面例子中的身份方法改為“使用由此證書頒發(fā)機構頒發(fā)的證書”即可，見下圖，并選擇自創(chuàng)建的證書頒發(fā)機構（CA），確定，并確?！吧矸蒡炞C方法首選順序”為證書，為避免意外，可以將Kerberos刪除。圖3-22 設置身份驗證方式證書l Web：Ø 重啟或刷新組策略；通過組策略申請IPsec證書；Ø 察看Web服務器是否已獲得IPsec證書，察看方法同上；Ø 在Web服務器上配置與P

29、C相對應的IPsec策略，具體方法同上。l Web：測試自定義的IP安全策略Ø Ping測試與網(wǎng)絡監(jiān)視器捕獲，請同學們在試驗時要把試驗現(xiàn)象記錄進試驗手冊。5. 實驗要點與注意事項u 本試驗步驟復雜，可逐步配置，逐步試驗；u 在配置（定制）IPsec策略時，最好不要用“向?qū)А?，按照自己事先的?guī)劃，以使試驗步驟不跳躍太大；u 本實驗的關鍵在于熟練掌握“IPsec篩選器、保護方式及身份驗證方法”的靈活應用，（Windows IPsec位于系統(tǒng)內(nèi)核的TCP/IP協(xié)議棧之中，因此IPsec篩選器也就成了最好的防火墻高效、安全）；u 可以使用“IPsec安全監(jiān)視器”，來檢查IPsec策略和驗證I

30、Psec通信；u 本實驗逐步嘗試IPsec的多種身份認證方法，并對比起靈活性、易用性和安全性；u 進一步的參考資源：為隔離組創(chuàng)建IPsec策略。（http:）實驗六 Windows VPN試驗1. 實驗目標u VPN的概念與應用；u IPsec的體系結(jié)構與應用；u 企業(yè)CA的管理證書模板的使用與根CA信任；u 雙因子認證智能卡登陸2. 考核點u VPN的特征、隧道技術；u IPsec的部署與應用；u 證書模板與根CA的自動信任；u 目前三種通用的VPN解決方案：PPTP VPN、L2TP VPN、EAP-TLS VPN。3. 實驗環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III

31、 500MHz或以上；u RAM：1024MB或以上；u 硬盤：至少有10GB或以上的空余磁盤空間。（2）軟件環(huán)境VMware Workstation 6.0、Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）實驗拓撲圖3-23 VPN試驗拓撲（4）實驗環(huán)境準備（部分可借助上一個試驗環(huán)境）：CA：安裝Windows Server 2003 Enterprise Edition，只有企業(yè)

32、版才能設置EAP-TLS 身份驗證的用戶證書自動注冊；l 配置IP信息，安裝域控制器，并升級域功能；l 安裝內(nèi)部網(wǎng)段的 DHCP 服務器，為遠程VPN客戶端分發(fā)IP地址；l 安裝IIS，安裝證書服務，使之成為域的企業(yè)根認證中心（CA）。在活動目錄中創(chuàng)建用于成員服務器IAS和VPN的域管理員（Domain Admin）賬戶，創(chuàng)建用于訪問的用戶組（VPNUsers）及帳戶（vpnuser1）。IAS：IAS是一部運行 Windows Server 2003 Standard/Enterprise Edition 的計算機，可為 VPN 提供 RADIUS 身份驗證、授權與帳戶處理。l 安裝 Win

33、dows Server 2003 Standard/Enterprise Edition，作為域中的成員服務器；VPN：VPN是一部運行 Windows Server 2003 Standard/Enterprise Edition 的計算機，安裝有兩塊網(wǎng)卡，可為Internet上的 VPN 客戶端PC，提供遠程訪問服務，并安裝微軟自帶的網(wǎng)絡監(jiān)視器（Network Monitor）；l 安裝 Windows Server 2003 Standard/Enterprise Edition，作為域中的成員服務器；Web：為內(nèi)網(wǎng)客戶端提供Web服務，供Internet上的VPN客戶端連接到內(nèi)網(wǎng)后，作

34、連接測試使用；l 安裝Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的計算機；l 創(chuàng)建用于測試的Web站點，（最好與CA的DNS相結(jié)合）PC：PC是一部運行Windows XP Professional的計算機，當作Internet上的VPN客戶端；4. 實驗要求及實驗步驟方案一：PPTP VPNl IAS：要將 IAS 設置為 RADIUS 服務器，請執(zhí)行下列步驟：Ø 以前面創(chuàng)建的域管理員賬戶加入域；Ø 在“Windows組件”中，選擇并安裝“網(wǎng)絡服

35、務”組件中的“Internet身份驗證服務”；如下圖所示，右擊“RADIUS 客戶端”，選擇“新建RADIUS 客戶端”，并輸入客戶端的名稱或IP地址；驗證信息。 注意：IAS是專門為遠程訪問服務和撥號服務集中提供“AAA” （Authentication 認證，Authorization 授權，Accounting記帳） 服務的，所以IAS的“RADIUS 客戶端”應該是VPN服務器；圖3-24 新建RADIUS客戶端單擊“下一步”，在彈出的如下圖所示的“新建RADIUS客戶端”向?qū)е械摹捌渌畔ⅰ睂υ捒蛑?，在“客戶端供應商”選項中默認選擇“RADIUS Standard”并填寫RADIUS

36、客戶端的客戶端（VPN服務器）與IAS服務器之間的共享機密；圖3-25 RADIUS客戶端信息完成RADIUS客戶端的創(chuàng)建。如下圖所示，右擊“遠程訪問策略”，在彈出的“新建遠程訪問策略向?qū)А钡膸椭拢瓿勺远x的遠程訪問策略。具體如下：圖3-26 新建遠程訪問策略在“新建遠程訪問策略向?qū)А钡摹安呗耘渲梅椒撁妗保x中“使用向?qū)碓O置在普通情況下的典型策略”復選框，并填寫合適的策略名稱，單擊“下一步”；在“訪問方法”頁面，選擇“VPN”，下一步；在“用戶或組訪問”頁面，選則“組”，并添加在CA中創(chuàng)建的允許VPN客戶端訪問的組VPNUsers，如下圖所示；圖3-27 遠程訪問策略中允許訪問的用戶或

37、組在“身份驗證方法”頁面，選擇“MS-CHAP v2” 身份驗證協(xié)議；圖3-28 遠程訪問策略的身份驗證方法在“策略加密級別”頁面，選擇“最強加密（IPsec的三重DES或MPPE128bits）”；完成遠程訪問策略的創(chuàng)建。l VPN：要將VPN設置為 VPN 服務器，請執(zhí)行下列步驟：以前面創(chuàng)建的域管理員賬戶加入域；在“所有工具”“路由和遠程訪問”中，右擊“VPN（本地）”，選擇“配置并啟用路由及遠程訪問”，在彈出的中的“歡迎使用路由及遠程訪問服務器安裝向?qū)А钡膸椭拢瓿蒝PN服務器的創(chuàng)建。具體如下：Ø “配置”頁面，選擇“遠程訪問（撥號或VPN）”，下一步；Ø 在“遠程

38、訪問”頁面，選擇“VPN” ，下一步；Ø 在“VPN連接”頁面中的“網(wǎng)絡接口”對話框中，選中外網(wǎng)接口（在此監(jiān)聽來自外網(wǎng)的VPN訪問請求），并取消“靜態(tài)數(shù)據(jù)包篩選器”（用來進行Ping測試，實際部署中，要啟用），下一步；圖3-29 VPN服務器的接口Ø 在“IP地址指定”頁面，選定“自動分配”，（若內(nèi)網(wǎng)中沒有DHCP，則指定一個內(nèi)網(wǎng)地址段），下一步；Ø 在“管理多個遠程訪問服務器”頁面上，選擇“設置此VPN服務器與 RADIUS 服務器一起工作”，下一步；Ø 在“RADIUS服務器選擇”頁面，在“主RADIUS服務器”對話框中填入RADIUS服務器的IP地

39、址，以及VPN服務器與RADIUA服務器之間的共享秘密，下一步；圖3-30 VPN服務器與RADIUA服務器的協(xié)同Ø 完成路由及遠程訪問服務器安裝向?qū)У呐渲茫?#216; 如果上面選擇的是“IP地址指定 自動分配”的話，不要忘了把“DHCP中繼代理”指定到DHCP服務器，如下圖所示。圖3-31 指定DHCP中繼l PC：首先配置PC的網(wǎng)卡和IP信息（外網(wǎng)地址），ping測試發(fā)現(xiàn)，能ping通VPN服務器，但能ping通內(nèi)網(wǎng)的計算機如CA、Web等；為什么？右擊“網(wǎng)上鄰居”選擇“屬性”，在彈出的“網(wǎng)絡連接”頁面中，單擊“網(wǎng)絡任務”中的“創(chuàng)建一個新的連接”，在彈出的“新建連接向?qū)А表撁嬷?/p>

40、，單擊“下一步”；Ø 在新建連接向?qū)У摹斑B接類型”頁面中，選擇“連接到我工作場所的網(wǎng)絡”，單擊“下一步”；Ø 在新建連接向?qū)У摹熬W(wǎng)絡連接”頁面中，選擇“虛擬專用網(wǎng)絡連接”，單擊“下一步”；Ø 在新建連接向?qū)У摹斑B接名”頁面中，在“公司名”對話框內(nèi)輸入合適的公司名稱，單擊“下一步”；Ø 在新建連接向?qū)У摹癡PN服務器選擇”頁面中，填入VPN服務器的IP地址（這里一般要填寫VPN服務器的外網(wǎng)接口地址）或主機名，單擊“下一步”；Ø 在桌面上創(chuàng)建新建連接的快捷方式，完成新建連接向?qū)А?#216; 打開新建的網(wǎng)絡連接，如圖3-32所示，單擊“屬性”按鈕，

41、在彈出的如圖3-33所示的“連接屬性”對話框中，選擇“網(wǎng)絡”選項卡，在“VPN類型”下拉菜單中選中“PPTP VPN”，單擊確定； 圖3-32 VPN客戶端連接的用戶輸入 圖3-33 VPN客戶端的連接類型至此，客戶端的PPTP VPN連接建立完成，可以用預先在CA上創(chuàng)建的VPN客戶端賬戶登陸測試了，并同時在VPN服務器上用網(wǎng)絡監(jiān)視器，驗證連接是否為PPTP連接。l PPTP VPN連接驗證Ø PC端PC端連接成功后，會在工具欄中添加一個新的網(wǎng)絡連接的圖標，雙擊打開，在其狀態(tài)的詳細信息選項卡中，能顯現(xiàn)本連接的細節(jié)，如下圖所示。圖3-34 客戶端VPN連接狀態(tài)Ø VPN服務器

42、端在PPTP連接建立后，打開如下圖所示的“路由及遠程訪問”對話框，選中“VPN”下的“端口”選項，會看到右側(cè)的端口列表，找到其狀態(tài)為“活動”的那個 ，右擊選擇“狀態(tài)”，察看該端口的消息信息；圖3-35 VPN服務器的端口狀態(tài)在PPTP連接初始化過程中，打開“網(wǎng)絡監(jiān)視器”，選擇在“撥號連接或VPN”捕獲，發(fā)現(xiàn)能夠捕獲PPP CHAP的認證信息，如下圖所示；試想捕獲了這些認證信息，能夠分析初什么？圖3-36 PPTP連接的認證數(shù)據(jù)在PPTP連接建立以后，用網(wǎng)絡監(jiān)視器在“外網(wǎng)接口”上捕獲，能發(fā)現(xiàn)PPTP的數(shù)據(jù)封裝格式，IP封裝GRE，GRE封裝PPP，PPP封裝什么？圖3-37 PPTP數(shù)據(jù)的封裝格

43、式此處的捕獲，涉及到PPTP協(xié)議的細節(jié)，篇幅限制，對此不作深入闡述，感興趣的同學，可以參考相關的資料。方案二：L2TP/IPsec VPN一般而言，如果公司對遠程訪問安全性要求較高且公司已部署公鑰基礎架構（PKI），那么最好使用基于L2TP的IPSec來保護；L2TP/IPsec VPN是目前最流行的遠程訪問解決方案：L2TP的廣泛適用性和IPsec的安全性的完美結(jié)合。L2TP/IPSec遠程訪問要求VPN客戶端和VPN服務器上都必須有“計算機證書”，而計算機證書的頒發(fā)，可以參考實驗一的方案三（證書模板的使用及基于組策略的證書分發(fā)）。因此，本實驗只需在PPTP VPN實驗的基礎上，稍作改動即可

44、，大致步驟如下：l CA：自動頒發(fā)計算機證書設置CA來自動注冊計算機證書，請執(zhí)行下列步驟：1）在域控制器上，編輯活動目錄的“默認組策略”；2）在控制臺樹中，依次打開“計算機配置”、“Windows 設置”、“安全設置”、“公鑰策略”及“自動證書請求設置”；3）右擊“自動證書請求設置”，指向新建，再單擊自動證書請求；4）在歡迎使用自動證書請求設置向?qū)ы撁嫔?，單擊下一步?）在證書模板頁面上，選中“計算機”，如圖3-20；6）單擊下一步，在完成自動證書請求設置向?qū)ы撁嫔?，單擊完成?）退出組策略編輯器，命令行中輸入“gpupdate”更新CA上的組策略；l VPN：在VPN服務器獲取計算機證書，請

45、執(zhí)行下列步驟：命令鍵入gpupdate或重啟系統(tǒng)，更新組策略并自動申請計算機證書。確認VPN服務器獲取計算機證書：方法一：在CA的證書頒發(fā)機構中，察看已頒發(fā)的證書中是否有VPN服務器的計算機證書。方法二：VPN服務器上“開始運行mmc文件添加/刪除管理單元添加證書添加計算機帳戶本地計算機確定完成”，在打開的“控制臺根節(jié)點證書（個人計算機）個人”下查看是否有計算機證書。有，說明沒有問題；沒有，可以在此處申請；若還申請不到，若還申請不到，可以重啟系統(tǒng)，再次檢查，還沒有則說明上面的配置有問題。l PC：在VPN客戶端PC上獲取計算機證書，請執(zhí)行下列步驟：Ø 更改網(wǎng)卡、IP，將PC連接到內(nèi)部

46、網(wǎng)段，作為 域中一臺成員計算機，然后以域中的遠程訪問帳戶（如：vpnuser1）登錄；Ø 注銷，登錄到本地計算機，將域中的遠程訪問帳戶（如：vpnuser1）加入本地管理員組中；Ø 重新啟動計算機，然后以 域中的遠程訪問帳戶身份登錄，計算機與用戶組策略將自動更新，即可自動獲得計算機證書；驗證VPN客戶端的計算機證書是否已經(jīng)頒發(fā)：在 VPN客戶端PC上，登錄到本地計算機，打開“控制臺根節(jié)點計算機賬戶本地計算機個人”下查看是否有計算機證書。有，說明沒有問題；如下圖所示。沒有，可以在此處申請；若還申請不到，說明上面的配置有問題。圖3-38 VPN客戶端上的計算機證書創(chuàng)建到VPN服

47、務器的L2TP/IPsec的VPN連接：Ø 更改網(wǎng)卡和IP地址，模擬Internet網(wǎng)絡，以域中的遠程訪問帳戶登錄；Ø 創(chuàng)建PC到VPN服務器的L2TP/IPsec VPN連接，具體步驟可參考PPTP VPN，下面只給出關鍵參數(shù)；Ø 如圖3-39所示，在VPN連接的“網(wǎng)絡”選項卡中，選擇VPN 的類型中的“L2TP IPSec VPN”； 圖3-39 VPN連接的L2TP IPsec VPN 圖3-40 L2TP/IPsec VPN的連接狀態(tài)Ø L2TP/IPsec VPN連接創(chuàng)建完成后，用域內(nèi)創(chuàng)建好的遠程訪問帳戶登錄。l 驗證L2TP/IPsec VP

48、N：PC端：PC端L2TP/IPsec VPN連接成功后，可以察看其狀態(tài)的詳細信息，如驗證方法、加密協(xié)議等等，如圖3-40所示。VPN端：在VPN服務器上啟用網(wǎng)絡監(jiān)視工具，并監(jiān)視VPN服務器的外網(wǎng)接口，驗證L2TP/IPsec連接的通信細節(jié)如下圖所示。從圖片中我們可以清晰地看到IPsec對通信雙方的保護（ISAKMP協(xié)商及ESP通信加密保護，此處涉及IPsec協(xié)議的細節(jié)，請同學們參考教材，來進一步的分析）。圖3-41 L2TP/IPsec VPN的通信解析方案三：EAP-TLS VPN從上面L2TP/IPsec VPN的實驗現(xiàn)象中我們可以看出：VPN服務器與VPN客戶端之間的通信，已非常牢靠（

49、IPsec來認證和加密）；但是IAS服務器和VPN服務器之間呢？仍是“共享秘密”若您要以最安全的用戶層身份驗證協(xié)議來驗證VPN客戶端，則應使用 EAP-TLS（可擴展身份驗證協(xié)議-傳輸層安全）；在生產(chǎn)環(huán)境中，建議您使用智能卡來執(zhí)行EAP-TLS身份驗證，而不要使用本地安裝的用戶證書（智能卡大多是證書的載體）。EAP-TLS 遠程訪問要求VPN客戶端必須有用戶證書而IAS服務器必須有計算機證書（且兩個證書之間必須有信任關系，即信任共同的根CA）。因此，EAP-TLS VPN的實驗只需在L2TP VPN實驗的基礎上，稍加改動即可。大致步驟如下：l CA： “計算機證書”的自動頒發(fā)已在上步試驗中設置

50、過，這里只進行“用戶證書”的自動頒發(fā)設置。Server 2003中用戶證書的模板是V1模板，必須轉(zhuǎn)換成V2模板之后才能使用。若要設置CA來自動注冊用戶證書，請執(zhí)行下列步驟：V1證書模板向V2證書模板的轉(zhuǎn)換：Ø 單擊開始與運行，輸入 mmc 之后，再單擊確定；Ø 在文件菜單中，單擊添加/刪除插件，再單擊添加；Ø 在添加獨立管理單元下，選擇證書模板，添加關閉確定；Ø 在控制臺根節(jié)點中，選擇證書模板，將在右側(cè)的窗格中詳細信息顯示所有證書模板，如下圖3-42所示；圖3-42 選擇用戶證書模板在詳細信息窗格中，右鍵單擊“用戶”模板，在彈出的菜單中，單擊“復制模板”

51、，在彈出的如圖3-43所示的“新模板屬性”對話框中的“常規(guī)”選項卡，在“模板顯示名稱”一欄中，輸入VPNUsers并確認已選定“在Active Directory 中頒發(fā)證書”的復選框； 圖3-43 復制V1模板 圖3-44 證書模板的申請權限單擊“安全”選項卡，在彈出的如圖3-44所示的“安全”選項卡中，給予相關用戶授予合適的權限（必須）。這里，我們給予“Domain Users”“讀取”、“注冊”和“自動注冊”的權限，單擊確定，復制后的“VPNUsers”模板變成了鮮亮的彩色，由此可以確定已經(jīng)完成由V1模板向V2模板的轉(zhuǎn)換；Ø 用戶模板的啟用如下圖所示，打開CA中的“證書頒發(fā)機構

52、”，打開“證書頒發(fā)機構（本地）”下的“MyPKI-Root（自定義的CA名稱）”，右擊“證書模板”，選擇“新建”，單擊“要頒發(fā)的證書模板”，在彈出的對話框中選擇自定義的證書模板“VPNUsers”，然后單擊確定。圖3-45 啟用自定義的用戶證書模板Ø 用戶證書的自動頒發(fā)如下圖所示，編輯Active Directory的組策略，在控制臺樹中，依序打開“用戶配置”、Windows 設置、安全設置以及公鑰策略，在右側(cè)的詳細信息窗格中，雙擊打開“自動注冊設置”，選定“自動注冊證書”、“續(xù)訂過期的證書、更新未決證書并刪除已吊銷的證書”和“更新使用證書模板的證書”三個復選框，單擊確定； 圖3-46 設置