實驗八 IPSec安全通信

實驗八IPSec實現(xiàn)安全通信【實驗目的】了解IPSec主要協(xié)議；理解IPSec工作原理；掌握Windows環(huán)境下利用IPSec在兩臺主機間建立安全通道的方法?！緦嶒灜h(huán)境】兩臺以上裝有Windows2000/XP/2003操作系統(tǒng)的計算機，其中必須有一臺為Windows2000/2003o【實驗原理】IPSec作為一套標準的集合，包括加密技術、Hash算法、Internet密鑰交換、AH、ESP等協(xié)議，在需要時還可以互相結(jié)合。IPSec是基于OSI第三層的隧道協(xié)議，第三層隧道協(xié)議對于OSI模型的網(wǎng)絡層，使用包作為數(shù)據(jù)交換單位，將IP包封裝在附加的IP包頭中，通過IP網(wǎng)絡發(fā)送。IPSec提供了一種標準的、健壯的以及包容廣泛的機制，可用為IP層協(xié)議及上層協(xié)議提供以下幾種服務：數(shù)據(jù)源驗證，確保收到的數(shù)據(jù)的發(fā)送者為實際發(fā)送者；數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過程中未被非法篡改；抗重播保護，防止數(shù)據(jù)被假冒者復制存儲并重復發(fā)送；信息的機密性，確保數(shù)據(jù)在傳輸過程中不被偷看。IPSec定義了一套默認的、強制實施的算法，以確保不同的實施方案可以共通。IPSec包含四類組件:IPSec進程本身驗證頭協(xié)議(AH)或封裝安全載荷協(xié)議ESP;Internet密鑰交換協(xié)議(IKE,InternetKeyExchange),M行安全參數(shù)的協(xié)商；SADB(SADatabase)，用于存儲安全關聯(lián)(SA，SecurityAssociation)等安全相關的參數(shù)；SPD(SecurityPolicyDatabase)，用于存儲安全策略。(1)IPSec的工作模式在IPSec協(xié)議中，無論是AH還是ESP，都可工作于傳輸模式(TransportMode)和隧道模式(TunnelMode)。①傳輸模式，傳輸模式主要為上層協(xié)議提供保護，即傳輸模式的保護擴充到IP分組的有效載荷。傳輸模式使用原始的明文IP頭，只加密數(shù)據(jù)部分(包括TCP頭或UDP頭)，如圖8-1所示。傳輸模式的典型應用是用于兩個主機之間的端到端的通信。

土腳：應始［P頭IPSec數(shù)維圖8-1IPSec傳輸工作模式②隧道模式，與傳輸模式相比，隧道模式對整個小分組提供保護，整個IP數(shù)據(jù)包全部被加密封裝，得到一個新的IP數(shù)據(jù)包，而新的IP頭可以包含完全不同的源地址和目的地址，因此在傳輸過程中，由于路由器不能夠檢查內(nèi)部IP頭，從而增加了數(shù)據(jù)安全性，如圖8-2所示。隧道模式通常用于當SA的一端或兩端是安全網(wǎng)關，如實現(xiàn)了IPSec的防火墻或路由器的情況。甌炯散撕報原枷頭 醐新敝據(jù)報 ―慕E― 忌 原蛤1P頭 贏「圖8-2IPSec隧道工作模式(2)IPSec的主要協(xié)議①AH協(xié)議，驗證頭是插入IP數(shù)據(jù)包內(nèi)的一個協(xié)議頭，如圖8-3所示，以便為IP提供數(shù)據(jù)源認證、抗重播保護以及數(shù)據(jù)完整性保護。AH頭ip頭AH頭ip頭負載(TCP|DATA)下一個頭 負載長度 保留(Reserved)安全參數(shù)索引 (SPI)序列號(SequenceNumber)認證數(shù)據(jù)(AuthenticationData) -完整性檢驗值 (IntegrityCheckValue)(長度可變)― 32bit —圖8-3AH協(xié)議頭格式驗證頭不提供機密性保證，所以它不需要加密器，但它依然需要身份驗證器，并提供數(shù)據(jù)完整性驗證。②ESP協(xié)議，封裝安全載荷是插入IP數(shù)據(jù)包內(nèi)的一個協(xié)議頭，如圖8-4所示，以便為

IP提供機密性、數(shù)據(jù)源認證、抗重播以及數(shù)據(jù)完整性保護。填充長度下圖8-4ESP協(xié)諛數(shù)據(jù)格式認證數(shù)據(jù)(長度可變)③因特網(wǎng)密鑰交換協(xié)議(IKE)用于動態(tài)建立安全關聯(lián)(SA)，IKE以UDP的方式通信，其端口號為500。IKE是一個混合協(xié)議，使用到ISAKMP、okley密鑰確定協(xié)議(基于DH協(xié)議)和SKEME協(xié)議。IKE分為兩個階段：第一階段建立IKE本身使用的安全信道而協(xié)商SA,主要是協(xié)商“主密鑰”；第二階段，利用第一階建立的安全信道來交換IPSecSA。(3)IPSec協(xié)議的實現(xiàn)IPSec的工作原理類似于包過濾防火墻°IPSec通過查詢安全策略數(shù)據(jù)庫SPD來決定接收到的IP包的處理，但不同于包過濾防火墻的是，IPSec對IP數(shù)據(jù)包的處理方法除了丟棄、直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有進行IPSec的處理。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證，保證了在外部網(wǎng)絡傳輸?shù)臄?shù)據(jù)的機密性、真實性、完整性，使通過Internet進行安全通信成為可能。在IETF的標準化下，IPSec的處理流程進行了規(guī)范。①IPSec外出處理，在外出處理過程中，傳輸層的數(shù)據(jù)包流進IP層，然后按如下步驟處理，如圖8-5所示。

首先，查找合適的安全策略。從IP包中提取出“選擇符”來檢索SPD，找到該IP包所對應的外出策略，之后用此策略決定對IP包如何處理；否則繞過安全服務以普通方式傳輸此包。其次，查找合適的SA。根據(jù)安全策略提供的信息，在安全聯(lián)盟數(shù)據(jù)庫中查找該IP包所應該應用的SA。如果該SA尚未建立。則會調(diào)用IKE，將這個SA建立起來。此SA決定了使用何種協(xié)議（AH或ESP），采用哪種模式（隧道模式或傳輸模式），以確定了加密算法，驗證算法，密鑰等處理參數(shù)。最后，根據(jù)SA進行具體處理。②IPSec流入處理，在進入處理過程中，數(shù)據(jù)包的處理如下步驟執(zhí)行，如圖8-6所示。不存在<IPS甑頭沒有不存在<IPS甑頭沒有存在進行］PS甑處理圖8-6 IPSec數(shù)據(jù)進入處理流程首先，IP包類型的判斷進行］PS甑處理圖8-6 IPSec數(shù)據(jù)進入處理流程首先，IP包類型的判斷：如果P包中不

I盾寇，會阪「下面的處理。Sec頭，將該包傳遞給下一層；如果IP包中包含了其次，查找適合的$人：從IPSec頭中摘出SPI,議，然后利用＜SPI，如果找到對應的SA迎頭中摘出目的地址和IPSec協(xié)目的地址，協(xié)議＞在SAD中搜索SA。如果SA搜索失敗則轉(zhuǎn)入以下處理。就丟棄該包。再次，具體的處理。IPSec處理，根據(jù)找到SA對數(shù)據(jù)包執(zhí)行驗證或解密進行具體的IPSec再次，具體的處理。話束最后，策略查詢：根據(jù)選擇符查詢SPD,，根據(jù)此策略檢驗IPSec處理的應用是否正確。最后，將IPSec頭剝離下來，并將包傳遞到下一層，根據(jù)采用的模式，下一層要么是傳輸層，要么是網(wǎng)絡層?！緦嶒灢襟E】IPSec協(xié)議是在公共IP網(wǎng)絡上確保通信雙方數(shù)據(jù)通信具有可靠性和完整性的技術，它能夠為通信雙方提供訪問控制、無連接完整性、數(shù)據(jù)源認證、載荷有效性和有限流量機密性等安全服務。Windows系統(tǒng)中提供構建IPSec安全應用的所有組件。首先配置Web服務器和客戶端主機網(wǎng)絡：服務器主機A：WindowsServer2003，IP地址是/24，安裝Web站點并測試成功。測試主機B：Windows2000/XP/2003/Vista,IP地址是/24，測試與主機A訪問成功。IPSec技術保證應用層服務訪問安全主要有以下幾個步驟：.在服務器主機A、B上安裝并配置IPSec；.在服務器主機未啟用或啟用IPSec的情況下進行測試。(1)配置服務器主機A的IPSec①建立新的IPSec策略步驟1:單擊“開始”一“所有程序”一“管理工具”一“本地安全策略”，打開【本地安全設置】窗口。步驟2:在【本地安全設置】窗口左側(cè)對話框中右擊TP安全策略，在本地機器”一“創(chuàng)建IP安全策略”，如圖8-7所示。圖8-7創(chuàng)建IP安全策略步驟3：在【歡迎使用IP安全策略】窗口中單擊“下一步”按鈕。步驟4：在【IP安全策略名稱】窗口中輸入名稱和描述信息、(本實驗中的策略名稱為新IP安全策略A)，單擊“下一步”按鈕。步驟5:在【安全通信請求】窗口中取消“激活默認響應規(guī)則”復選框，單擊“下一步”按鈕。

步驟8:在【完成“IP安全策略向?qū)А薄看翱谥腥∠熬庉媽傩浴蹦J選項，單擊“完成”按鈕，打開【新IP安全策略A屬性】窗口，如圖8-8所示。新IF安全策略A屆性規(guī)則|常規(guī)］嘉和其它計算機通訊的安全規(guī)則

IF安全規(guī)則（X）：主機到主機實現(xiàn)IPSec安全通信），如圖8-10所示。W筋選器列表 I蔬選器操作□默認響應KerberosI身份驗證方法圖8-8創(chuàng)建新IP安全策略A②添加新規(guī)則步驟1:在【新辟安全規(guī)則A屬性】.窗口中取消#用添加向?qū)_選項W筋選器列表 I蔬選器操作□默認響應KerberosI身份驗證方法圖8-8創(chuàng)建新IP安全策略A②添加新規(guī)則步驟1:在【新辟安全規(guī)則A屬性】.窗口中取消#用添加向?qū)_選項Jj再單擊“添加”按鈕，如圖8-8所示。確定|步驟2:在【新規(guī)則屬性】窗口中的-IP篩選器列表”選項卡中選中“所有IICMP通信”單擊“添加”按鈕，出現(xiàn)【IP篩選器列表】窗口，如圖8-9所示。?|x|IF蔬選器列表|催選器操作］身份驗證方法|隧道設置|連接類型］工 所選的IF蔬選器列表指定了哪個網(wǎng)絡傳輸將爰此規(guī)則M 彩響。IF蔬選器列表（1）:名稱?。所有IF通訊所有ICMF通訊描述適用于該計算機與任何其他計...適用于該計算機到任何其他計...圖8-9添加新的過濾器③添加新過濾器步驟1:在【IP篩選器列表.窗口中輸入篩選器的名稱，并取消搜用，添加向?qū)?”選項，單擊“添加“按鈕。 |確定|取消|應用如|步驟2：在【IP篩選器屬性】窗口中設置源地址和目標地址為特定的IP地址（本實驗為IF篩選需屜性地址|協(xié)設|描述］目標地址?：|一個特定的IF地址 3IF地址⑧：|198.168.―0地址|協(xié)設|描述］目標地址?：|一個特定的IF地址 3IF地址⑧：|198.168.―0—:一4一

子網(wǎng)掩艷:I255T255.255.255圖8-10設置通信源與目的地址步驟3:在【Ip篩選器屬性】窗口中,j如圖8-1^示,選擇協(xié)議”選項長，選擇“協(xié)議類型”為ICMP，單擊“確定”按鈕。步驟4：在【IP篩選器列表】窗口中單擊“確定”按鈕，返回【新規(guī)則屬性】窗口，通過單擊新添加的過濾器旁邊的單選按鈕激活新設置的過濾器，如圖8-11所示鐐輯祝則屜性?|x|IF諦選器列表|蔬選器操作|身汾驗證方法|隧道設置］連接類型］M 所選的IF蔬選器列表指定了哪個網(wǎng)洛隹輸將受此規(guī)則M 影響。IF茄選器列表（L）:名稱O所有ICMP通訊O所有IP通訊新ip怖選器列表1描述適用于該計篇機與任何其他計...適用于該計管機到任何其他計...與同蛆主機進行安全的xcmpjim圖8-11激活新建的過濾器④規(guī)定過濾器動艇）...編輯堡）...步驟1:在【新規(guī)則屬性】窗口中選擇“篩選器操作”選項卡，取消“使用取消I選項，單擊“添加”按鈕，如圖8-12所示。確定應用（A）步驟2:在【新篩選器操作屬性】窗口中默認選擇“協(xié)商安全”選項，單擊“添加”按鈕。步驟3：在【新增安全措施】窗口中默認選擇完整性和加密”選項，選擇節(jié)定義選項”，單擊“設置”按鈕，在【自定義安全措施設置】窗口中可選擇AH或ESP協(xié)議及相應算法，如圖8-13所示。新祝則尾性IF蔬選器列表蔬選器操作|身份驗證方法|隧道設置|連接類型|X 選擇的浦選器操作指定了此規(guī)則是否協(xié)商及如何來保證網(wǎng)貉通訊的安全。浦位器操作（I）:名稱描述。請求安全國選）接受不安全的通訊，但是請求...@新蔬選器操作A與同蛆主機進行安全的icmpjl信 1O需妻安全接受不安全的ili禮但總是話...。許可允許不安全的IF數(shù)據(jù)包經(jīng)過。圖8-12添加新篩選器動作自定義安全措冠設置指定此自定義安全措施的設置。廠數(shù)據(jù)和地址不加密的完整怪砌“宜完整秘登注（X）:網(wǎng)-一~-~~~^—17數(shù)據(jù)完整性和加密（ESF）（￡）:完整性聳法更）：（SHM V|加密算法廷）：（3DES V|含話密鑰設置：匚生成新密鑰間隔四： 生成新密鑰間偏俱）:|100000KB堡） |3600 秒底）圖8-13自定義安全措施設置步驟4:在【新增安全措施】窗口中單擊“關閉”按鈕，返回【新篩選器屬性】對話框，確保不選擇“允許和不支持IPSec的計算機進行不安全的通信呢單擊“確定”按鈕］步驟5：在如圖8-11所示的【新規(guī)則屬性】窗口中的“篩選器操作”選項卡中選中“新篩選器操作”并激活，如圖8-12所示。⑤設置身份驗證方法步驟1：在如圖8-11所示【新規(guī)則屬性】窗口中的“身份驗證方法”選項卡中單擊“添加”按鈕，打開【新身份驗證方法屬性】窗口，選擇“使用此字串（預共享密鑰）”單選框，并輸入預共享密鑰字串“ABC”。步驟2:在【身份認證方法屬性】窗口中單擊“確定”按鈕返回“身份驗證方法”選項卡，選中新生成的“預共享密鑰”，單擊“上移”按鈕使其成為首選，如圖8-14所示。單擊如圖8-1定IPSec隧道單擊如圖8-1定IPSec隧道”。⑦設置“連接1步驟1：單擊如圖8-11所示【新規(guī)則屬性】窗口中的“連接類型”選項卡，默認選擇“所有網(wǎng)絡連接”。步驟2：單擊“關閉”按鈕，返回【新IP安全策略A屬性】窗口，如圖8-15所示。步驟3步驟3：圖8-16圖8-16新IP安全策略設置完成配置服務器主機B的IPSec仿照前面對主機A的配置對主機B的IPSec進行配置。測試IPSec不激活主機A、主機B的IPSec進行測試分別在主機A、B上Ping...，要求對方主機可以Ping通。激活一方的IPSec進行測試步驟1:在主機A新建立的IP安全策略上單擊鼠標右鍵并選擇“指派”，激活該IP安全策略。步驟2:在主機B執(zhí)行命令PING。步驟3:在主機A執(zhí)行命令PING。激活雙方的IPSec進行測試此時在主機A和主機B之間建立了一個共享密鑰的IPSec安全通道，它們之間能正常Ping通并進行所有訪問，如圖8-17所示。如Web、FTP訪問。而其他機器如主機C(2)則不能訪問主機A和B提供的任何服務，從而可以保證主機A和B在公網(wǎng)上傳輸數(shù)據(jù)的安全。如果在主機C上運行第三方網(wǎng)絡監(jiān)聽軟件對主機A和B之間的通信數(shù)據(jù)進行捕獲可以發(fā)現(xiàn)，捕獲的都是加密的數(shù)據(jù)包，而不是明文數(shù)據(jù)包，也就不能從中得到用戶名和密碼等敏感信息。

感信息。（4）協(xié)議分析ESP步驟1:主機B對Ethreal工具進行設置，并啟動使其處于捕包狀態(tài)。步驟2:主機B打開cmd命令符窗口，執(zhí)行ping命令。等待A回應后，停止Ethreal捕包狀態(tài)，觀察捕獲的數(shù)據(jù)，如圖8-18所示，記錄ESP協(xié)議的類型，SPI值、序列號值以及判斷ICMP數(shù)據(jù)包是否被加密封裝。。(Untitled)-EtherealL1回FileEditViewGoCaptureAnalyzeStatisticsHelpSfStSt蠲螺1今扃x命昌1、才晞陌不但|gl]!MFilter:▼Expression...ClearApplyTime SourceDestination ProtocolInfo11.9760^ ISAKMIdentityProtection12.0347； ISAKMIdentityProtection12.0446； ISAKMIdentityProtection12.0458： ISAKMIdentityProtection12.0742； ISAKMQuickMode12.1332： ISAKMQuickMode12.1433^ ISAKMQuickMode12.1443； ISAKMQuickMode12.1445' ESPESP(SPI=0xddb5fZ89>* 1 11mero~~n~ive:~~64Protocol:ESP(0x32)>Headerchecksum:Oxf181[correct]Source:()Destination:()I w Joooc012009一ooor460)0oooc012009一o