Window系统中IPSec协议配置及数据包分析.docVIP

一、传输模式的实现 1.启动vmware，建立两个windows server 2003虚拟机 IP1:192.168.72.128 IP2:192.168.72.13 2. 新建本地安全策略 IP安全策略-1（用作IPSec传输模式） 1 3编辑安全策略-1的属性,新建IP安全规则 4.设置安全规则的模式（传输模式） 5.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表 7.设置源地址为我的IP地址，目标地址为192.168.72.131 8添加筛选器操作，选用不同的加密模式 9.设置共享密钥的密码。 10.完成，设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息 完成后，指派当前的安全策略。 在另一台机器上新建安全策略，将源地址和目标地址分别设为本机和 192.168.72.128，设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相通 不指派查看结果 . 指派一方IP策略查看结果 双方指派IP策略查看结果 二、隧道模式的实现 1.添加两个筛选器列表 采用同样的方式设置筛选器列表in和筛选器列表out的操作 不同的地方是，指定IP为192.168.72.128，out策略的隧道终点的IP地址为192.168.72.131 In策略的隧道终点为本身IP，指定IP为192.168.72.131，out策略的隧道终点的IP地址为192.168.72.128 In策略的隧道终点为本身IP 同时设置筛选器目标地址和源地址的IP 规则： IP：192.168.72.128 筛选器out 源地址：本身 目标地址：192.168.72.131 筛选器in 源地址：192.168.72.131 目标地址：本身 IP：192.168.72.131 筛选器out 源地址：本身 目标地址：192.168.72.128 筛选器in 源地址：192.168.72.128 目标地址：本身 指派双方的安全策略，查看结 二. 抓包分析isakmp协议过程 A. 第一阶段主模式原理分析 MM 模式下：6个包 1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2 包：双方互相提供可以实现的Isakmp参数 包括下面的内容??????? 1 对端ip??????? 2 authentication 方式：presharekey CA 等??????? 3 加密类型? des 3des aes??????? 4 hash md5 sha-1??????? 5 DH 1,2.7 3-4 包 通过DH算法产生可以密钥???????? 1 给isakmp phase 1 阶段使用???????? 2 给ISakmap phase2 阶段使用5-6 包 验证对等体的身份,建立isakmp sa ?????? 1 共享密钥?????? 2 CA?????? 3 NO-nonceMM模式下要配置参数在???????? 1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥???????? 2 authentication 方式：presharekey CA 等???????? 3 加密类型? des 3des aes???????? 4 hash md5 sha-1???????? 5 DH 1,2.7 第1-2个数据包 1.作用 （1）通过数据包源地址确认对端体的和合法性。 （2）协商IKE策略 2.第一个包的格式 通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KEY 密码 address IP 中的IP 是否相等验证合法性。相等就接收设个包，不相等就丢弃。 通过上图可以看出，模式是主模式，载荷类型是SA，数目是一个，内容是IKE策略。 3.第二个包 通过上面的图可以看出是协商后的策略。? 第3-4个数据包 1.作用 （1）通过协商DH产生第一阶段的密码。 2 第三个包格式 从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。 说明： DH是一种非对称密钥算法，基于一个知名的单项函数，A=Ga?mode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易，反之基本不可能。关于这个算法详情可以参考网络上的相关文章。 IPSEC就是通过这种方式，协商密钥的。有了这个秘密就可以通过衍生算法得到密钥和HMAC吃了IKE的密钥，感兴趣的密钥也从这个密钥衍生出来的，所以说这个密钥是IPSEC的始祖。 3.第四个包基本这第三个相同 第5-6个数据包 1.作用 这