網(wǎng)絡(luò)安全導(dǎo)論 實(shí)驗(yàn)10A 基于預(yù)共享密鑰的IPSec通信

實(shí)驗(yàn)10A基于預(yù)共享密鑰的IPSec通信一、實(shí)驗(yàn)?zāi)康氖煜PSec,、TLS、L2TP等常用安全通信協(xié)議。使用預(yù)共享密鑰實(shí)現(xiàn)兩臺(tái)機(jī)器之間的IPSec安全通信。實(shí)驗(yàn)準(zhǔn)備虛擬專用網(wǎng)隧道(Tunneling)技術(shù)是VPN的基本技術(shù)，網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是將原始網(wǎng)絡(luò)信息進(jìn)行再次封裝，并在兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩?。具體包括第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，這種經(jīng)過兩層封裝的數(shù)據(jù)包由第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有PPTP、L2F和L2TP。第三層隧道協(xié)議是在網(wǎng)絡(luò)層進(jìn)行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有IPSec和GRE。利用SSL/TLS協(xié)議構(gòu)建VPN需要安裝數(shù)字證書。微軟將防火墻功能和Internet網(wǎng)絡(luò)層安全協(xié)議IPSec集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。三、實(shí)驗(yàn)內(nèi)容（1）進(jìn)入控制面板，找到管理工具，打開本地安全配置，右鍵點(diǎn)擊IP安全策略。圖10-16找到IP安全策略的屬性（2）點(diǎn)擊添加篩選器，把目標(biāo)地址設(shè)置為另一臺(tái)機(jī)器的ip地址。圖10-17配置IP地址（3）選擇協(xié)議類型部分，選擇ICMP圖10-18配置協(xié)議類型（4）添加篩選器圖10-19添加篩選器（5）選擇適當(dāng)?shù)恼J(rèn)證方法。這里我們采用建立預(yù)共享密鑰的方法（這種方法密鑰在機(jī)器中是明文存放的，因而安全性不高）。圖10-20建立預(yù)共享密鑰（7）操作完畢后，點(diǎn)擊指派圖10-21對(duì)策略進(jìn)行指派（8）在另外一臺(tái)機(jī)器上做類似設(shè)置。（9）用一臺(tái)機(jī)器ping另一臺(tái)機(jī)器，查看是否ping通，使用WireShark抓包，查看其中其中是否包含AH頭部和ESP頭部。四、實(shí)驗(yàn)報(bào)告1．通過實(shí)驗(yàn)回答下列問題MainMode和QuickMode是什么意思？MainMode和QuickMode是IPsec通用術(shù)語(yǔ),指的是在主機(jī)之間安全地交換加密密鑰的IPsec協(xié)商過程的各個(gè)階段。MainMode和QuickMode都用于建立和刷新IPsec網(wǎng)絡(luò)的過程。在IKE第一階段，使用資源更密集的MainMode協(xié)商設(shè)置IPsec鏈接，其目的是在主機(jī)之間安全地創(chuàng)建稱為Internet密鑰交換安全關(guān)聯(lián)的通道。在IKE第二階段，使用QuickMode，其目的是建立IPsecSA,它是用于加密和解密應(yīng)用程序數(shù)據(jù)的通道。分析捕獲工具捕獲的IPSec包，描述包的結(jié)構(gòu)。AH頭部：IPSec的子協(xié)議頭認(rèn)證協(xié)議AH，為IP報(bào)文提供數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)源身份認(rèn)證。提供身份認(rèn)證、完整性認(rèn)證等服務(wù)，但不提供加密服務(wù)。AH結(jié)構(gòu)：|NewIP|AH|RawIP|TCP|DATA||認(rèn)證范圍（NewIP頭中可變域除外）|（整個(gè)封裝全部為認(rèn)證范圍）ESP頭部：ESP協(xié)議是被IP協(xié)議封裝的協(xié)議之一，ESP頭部包含SPI和序列號(hào)字段。提供了加密服務(wù)，從而能夠保護(hù)傳輸數(shù)據(jù)的機(jī)密性，也可以執(zhí)行有限的身份認(rèn)證操作。ESP結(jié)構(gòu)：|NewIP|ESP|RawIP|TCP|DATA|ESPTail|ESPAuthdata||ESP加密范圍|（從RawIP到ESPTail為ESP加密范圍）|ESP認(rèn)證范圍|（從ESP到ESPTail為ESP認(rèn)證范圍）2．問答題（1）實(shí)現(xiàn)VPN的安全協(xié)議有哪些？主要有PPTP，L2F、L2TP和IPSec四種。1、PPTP協(xié)議是點(diǎn)對(duì)點(diǎn)隧道協(xié)議，其將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中。2、L2F，或第二層轉(zhuǎn)發(fā)協(xié)議（Layer2ForwardingProtocol），是由思科系統(tǒng)公司開發(fā)的，創(chuàng)建在互聯(lián)網(wǎng)上的虛擬專用網(wǎng)絡(luò)連接的隧道協(xié)議。L2F協(xié)議本身并不提供加密或保密；它依賴于協(xié)議被傳輸以提供保密。L2F是專為隧道點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）通信。3、L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協(xié)議結(jié)合使用，提供隧道驗(yàn)證。4.IPSec隧道模式隧道是封裝、路由與解封裝的整個(gè)過程。隧道將原始數(shù)據(jù)包隱藏（或封裝）在新的數(shù)據(jù)包內(nèi)部。試比較IPsec和SSL在構(gòu)建VPN方面的異同。相同處：IPsec和SSL采用的認(rèn)證方法相似，但是IPSecVPN更安全。不同處：1、認(rèn)證不同IPSecVPN：采用InternetKeyExchange（IKE）方式，通過數(shù)字憑證或是一組密匙來(lái)做認(rèn)證；SSLVPN：僅能使用數(shù)字憑證。2、用戶控制不同IPSecVPN：能明確使用收控的設(shè)備接入的移動(dòng)用戶；SSLVPN：使用無(wú)法控制的設(shè)備接入的用戶。3、系統(tǒng)被攻擊幾率不同IPSecVPN：使用此連接，內(nèi)網(wǎng)所連接的應(yīng)用系統(tǒng)都有可能被黑客監(jiān)測(cè)到，并找到攻擊機(jī)會(huì)；SSLVPN：使用此連接，沒有網(wǎng)絡(luò)層上的鏈接，黑客不容易監(jiān)測(cè)到，攻擊的機(jī)會(huì)也很小。4、防病毒程度不同IPSecVPN：一旦客戶端遭到病毒感染，就可能會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦；SSLVPN：病毒感染的僅限于這臺(tái)主機(jī)，并且病毒必須是針對(duì)相同的應(yīng)用系統(tǒng)的類型，否則這臺(tái)主機(jī)都不會(huì)被感染。5、用途不同IPSecVPN：通過IPSecVPN，遠(yuǎn)程用戶能夠通過MicrosoftWindowsNT工作站、Windowsxp、Windows2000和windows2003。SSLVPN：SSLVPN用來(lái)整合多協(xié)議撥號(hào)服務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供商點(diǎn)。PPP定義了多協(xié)議跨越第二層點(diǎn)對(duì)點(diǎn)鏈接的一個(gè)封裝機(jī)制。使用復(fù)雜性不同IPSecVPN：遠(yuǎn)程用戶需要安裝特定的客戶端軟件，有些VPN服務(wù)商提供的客戶端軟件甚至只能在某一特定的操作系統(tǒng)平臺(tái)環(huán)境下使用。SSLVPN：無(wú)需任何特殊客戶端軟件，也無(wú)需進(jìn)行任何手動(dòng)配置，僅需要一個(gè)Web瀏覽器。應(yīng)用范圍不同IPSecVPN：IPSec位于網(wǎng)絡(luò)層，保護(hù)通信雙方傳遞的所有數(shù)據(jù)，與上層的應(yīng)用程序無(wú)關(guān)，SSLVPN：SSL協(xié)議位于套鏈層，與應(yīng)用層有密切的聯(lián)系，它的應(yīng)用范圍主要是電子郵件系統(tǒng)、文件共享和Web應(yīng)用程序。（3）OpenSSL是什么東西？OpenSSL是一個(gè)安全套接字層密碼庫(kù)，囊括主要的密碼算法、常用密鑰、證書封裝管理功能及實(shí)現(xiàn)ssl協(xié)議。OpenSSL整個(gè)軟件包大概可以分成三個(gè)主要的功能部分：SSL協(xié)議庫(kù)libssl、應(yīng)用程序命令工具以及密碼算法庫(kù)libcrypto。OpenSSL一共實(shí)現(xiàn)了4種非對(duì)稱加密算法，包括DH算法、RSA算法、DSA算法和橢圓曲線算法（EC）。DH算法一般用于密鑰交換。RSA算法既可以用于密鑰交換，也可以用于數(shù)字簽名，當(dāng)然，如果你能夠忍