實(shí)驗(yàn)八-IPSec安全通信

實(shí)驗(yàn)八IPSec實(shí)現(xiàn)安全通信【實(shí)驗(yàn)?zāi)康摹?.了解IPSec主要協(xié)議;2.理解IPSec工作原理;3.掌握Windows環(huán)境下利用IPSec在兩臺(tái)主機(jī)間建立安全通道的方法。【實(shí)驗(yàn)環(huán)境】?jī)膳_(tái)以上裝有Windows2000/XP/2003操作系統(tǒng)的計(jì)算機(jī),其中必須有一臺(tái)為Windows2000/2003。【實(shí)驗(yàn)原理】IPSec作為一套標(biāo)準(zhǔn)的集合，包括加密技術(shù)、Hash算法、Internet密鑰交換、AH、ESP等協(xié)議，在需要時(shí)還可以互相結(jié)合。IPSec是基于OSI第三層的隧道協(xié)議，第三層隧道協(xié)議對(duì)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位，將IP包封裝在附加的IP包頭中，通過(guò)IP網(wǎng)絡(luò)發(fā)送。IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可用為IP層協(xié)議及上層協(xié)議提供以下幾種服務(wù)：數(shù)據(jù)源驗(yàn)證，確保收到的數(shù)據(jù)的發(fā)送者為實(shí)際發(fā)送者；數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過(guò)程中未被非法篡改；抗重播保護(hù)，防止數(shù)據(jù)被假冒者復(fù)制存儲(chǔ)并重復(fù)發(fā)送；信息的機(jī)密性，確保數(shù)據(jù)在傳輸過(guò)程中不被偷看。IPSec定義了一套默認(rèn)的、強(qiáng)制實(shí)施的算法，以確保不同的實(shí)施方案可以共通。IPSec包含四類組件:IPSec進(jìn)程本身,驗(yàn)證頭協(xié)議(AH)或封裝安全載荷協(xié)議ESP;Internet密鑰交換協(xié)議(IKE,InternetKeyExchange),進(jìn)行安全參數(shù)的協(xié)商；SADB（SADatabase），用于存儲(chǔ)安全關(guān)聯(lián)（SA，SecurityAssociation）等安全相關(guān)的參數(shù)；SPD（SecurityPolicyDatabase），用于存儲(chǔ)安全策略。（1）IPSec的工作模式在IPSec協(xié)議中，無(wú)論是AH還是ESP，都可工作于傳輸模式(TransportMode)和隧道模式(TunnelMode)。①傳輸模式，傳輸模式主要為上層協(xié)議提供保護(hù)，即傳輸模式的保護(hù)擴(kuò)充到IP分組的有效載荷。傳輸模式使用原始的明文IP頭，只加密數(shù)據(jù)部分(包括TCP頭或UDP頭)，如圖8-1所示。傳輸模式的典型應(yīng)用是用于兩個(gè)主機(jī)之間的端到端的通信。圖8-1IPSec傳輸工作模式②隧道模式，與傳輸模式相比，隧道模式對(duì)整個(gè)IP分組提供保護(hù)，整個(gè)IP數(shù)據(jù)包全部被加密封裝，得到一個(gè)新的IP數(shù)據(jù)包，而新的IP頭可以包含完全不同的源地址和目的地址，因此在傳輸過(guò)程中，由于路由器不能夠檢查內(nèi)部IP頭，從而增加了數(shù)據(jù)安全性,如圖8-2所示。隧道模式通常用于當(dāng)SA的一端或兩端是安全網(wǎng)關(guān)，如實(shí)現(xiàn)了IPSec的防火墻或路由器的情況。圖8-2IPSec隧道工作模式（2）IPSec的主要協(xié)議①AH協(xié)議，驗(yàn)證頭是插入IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，如圖8-3所示，以便為IP提供數(shù)據(jù)源認(rèn)證、抗重播保護(hù)以及數(shù)據(jù)完整性保護(hù)。圖8-3AH協(xié)議頭格式驗(yàn)證頭不提供機(jī)密性保證，所以它不需要加密器，但它依然需要身份驗(yàn)證器，并提供數(shù)據(jù)完整性驗(yàn)證。②ESP協(xié)議，封裝安全載荷是插入IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，如圖8-4所示，以便為IP提供機(jī)密性、數(shù)據(jù)源認(rèn)證、抗重播以及數(shù)據(jù)完整性保護(hù)。圖8-4ESP協(xié)議數(shù)據(jù)格式③因特網(wǎng)密鑰交換協(xié)議(IKE)用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SA)，IKE以UDP的方式通信，其端口號(hào)為500。IKE是一個(gè)混合協(xié)議，使用到ISAKMP、okley密鑰確定協(xié)議（基于DH協(xié)議）和SKEME協(xié)議。IKE分為兩個(gè)階段：第一階段建立IKE本身使用的安全信道而協(xié)商SA，主要是協(xié)商“主密鑰”；第二階段，利用第一階建立的安全信道來(lái)交換IPSecSA。（3）IPSec協(xié)議的實(shí)現(xiàn)IPSec的工作原理類似于包過(guò)濾防火墻。IPSec通過(guò)查詢安全策略數(shù)據(jù)庫(kù)SPD來(lái)決定接收到的IP包的處理，但不同于包過(guò)濾防火墻的是，IPSec對(duì)IP數(shù)據(jù)包的處理方法除了丟棄、直接轉(zhuǎn)發(fā)（繞過(guò)IPSec）外，還有進(jìn)行IPSec的處理。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證，保證了在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)的機(jī)密性、真實(shí)性、完整性，使通過(guò)Internet進(jìn)行安全通信成為可能。在IETF的標(biāo)準(zhǔn)化下，IPSec的處理流程進(jìn)行了規(guī)范。IPSec外出處理，在外出處理過(guò)程中，傳輸層的數(shù)據(jù)包流進(jìn)IP層，然后按如下步驟處理，如圖8-5所示。圖8-5IPSec外出處理流程首先，查找合適的安全策略。從IP包中提取出“選擇符”來(lái)檢索SPD，找到該IP包所對(duì)應(yīng)的外出策略，之后用此策略決定對(duì)IP包如何處理；否則繞過(guò)安全服務(wù)以普通方式傳輸此包。其次，查找合適的SA。根據(jù)安全策略提供的信息，在安全聯(lián)盟數(shù)據(jù)庫(kù)中查找該IP包所應(yīng)該應(yīng)用的SA。如果該SA尚未建立。則會(huì)調(diào)用IKE，將這個(gè)SA建立起來(lái)。此SA決定了使用何種協(xié)議（AH或ESP），采用哪種模式（隧道模式或傳輸模式），以確定了加密算法，驗(yàn)證算法，密鑰等處理參數(shù)。最后，根據(jù)SA進(jìn)行具體處理。②IPSec流入處理，在進(jìn)入處理過(guò)程中，數(shù)據(jù)包的處理如下步驟執(zhí)行，如圖8-6所示。圖8-6IPSec數(shù)據(jù)進(jìn)入處理流程首先，IP包類型的判斷：如果IP包中不含IPSec頭，將該包傳遞給下一層；如果IP包中包含了IPSec頭，會(huì)進(jìn)入下面的處理。其次，查找適合的SA：從IPSec頭中摘出SPI,從外部IP頭中摘出目的地址和IPSec協(xié)議，然后利用<SPI，目的地址，協(xié)議>在SAD中搜索SA。如果SA搜索失敗就丟棄該包。如果找到對(duì)應(yīng)的SA，則轉(zhuǎn)入以下處理。再次，具體的IPSec處理，根據(jù)找到SA對(duì)數(shù)據(jù)包執(zhí)行驗(yàn)證或解密進(jìn)行具體的IPSec處理。最后，策略查詢：根據(jù)選擇符查詢SPD，根據(jù)此策略檢驗(yàn)IPSec處理的應(yīng)用是否正確。最后，將IPSec頭剝離下來(lái)，并將包傳遞到下一層，根據(jù)采用的模式，下一層要么是傳輸層，要么是網(wǎng)絡(luò)層。【實(shí)驗(yàn)步驟】IPSec協(xié)議是在公共IP網(wǎng)絡(luò)上確保通信雙方數(shù)據(jù)通信具有可靠性和完整性的技術(shù)，它能夠?yàn)橥ㄐ烹p方提供訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源認(rèn)證、載荷有效性和有限流量機(jī)密性等安全服務(wù)。Windows系統(tǒng)中提供構(gòu)建IPSec安全應(yīng)用的所有組件。首先配置Web服務(wù)器和客戶端主機(jī)網(wǎng)絡(luò)：服務(wù)器主機(jī)A：WindowsServer2003，IP地址是/24，安裝Web站點(diǎn)并測(cè)試成功。測(cè)試主機(jī)B：Windows2000/XP/2003/Vista，IP地址是/24，測(cè)試與主機(jī)A訪問(wèn)成功。IPSec技術(shù)保證應(yīng)用層服務(wù)訪問(wèn)安全主要有以下幾個(gè)步驟：在服務(wù)器主機(jī)A、B上安裝并配置IPSec；●在服務(wù)器主機(jī)未啟用或啟用IPSec的情況下進(jìn)行測(cè)試。（1）配置服務(wù)器主機(jī)A的IPSec①建立新的IPSec策略步驟1：?jiǎn)螕簟伴_(kāi)始”→“所有程序”→“管理工具”→“本地安全策略”，打開(kāi)【本地安全設(shè)置】窗口。

步驟2：在【本地安全設(shè)置】窗口左側(cè)對(duì)話框中右擊“IP安全策略，在本地機(jī)器”→“創(chuàng)建IP安全策略”,如圖8-7所示。

圖8-7創(chuàng)建IP安全策略步驟3：在【歡迎使用IP安全策略】窗口中單擊“下一步”按鈕。

步驟4：在【IP安全策略名稱】窗口中輸入名稱和描述信息(本實(shí)驗(yàn)中的策略名稱為新IP安全策略A)，單擊“下一步”按鈕。步驟5：在【安全通信請(qǐng)求】窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框，單擊“下一步”按鈕。

步驟8：在【完成“IP安全策略向?qū)А薄看翱谥腥∠熬庉媽傩浴蹦J(rèn)選項(xiàng)，單擊“完成”按鈕，打開(kāi)【新IP安全策略A屬性】窗口，如圖8-8所示。圖8-8創(chuàng)建新IP安全策略A②添加新規(guī)則步驟1：在【新IP安全規(guī)則A屬性】窗口中取消“使用‘添加向?qū)А边x項(xiàng)，再單擊“添加”按鈕，如圖8-8所示。

步驟2：在【新規(guī)則屬性】窗口中的“IP篩選器列表”選項(xiàng)卡中選中“所有ICMP通信”，單擊“添加”按鈕，出現(xiàn)【IP篩選器列表】窗口，如圖8-9所示。圖8-9添加新的過(guò)濾器③添加新過(guò)濾器步驟1：在【IP篩選器列表】窗口中輸入篩選器的名稱，并取消“使用‘添加向?qū)А边x項(xiàng)，單擊“添加”按鈕。

步驟2：在【IP篩選器屬性】窗口中設(shè)置源地址和目標(biāo)地址為特定的IP地址(本實(shí)驗(yàn)為主機(jī)到主機(jī)實(shí)現(xiàn)IPSec安全通信)，如圖8-10所示。圖8-10設(shè)置通信源與目的地址步驟3：在【IP篩選器屬性】窗口中，如圖8-10所示，選擇“協(xié)議”選項(xiàng)卡，選擇“協(xié)議類型”為ICMP，單擊“確定”按鈕。

步驟4：在【IP篩選器列表】窗口中單擊“確定”按鈕，返回【新規(guī)則屬性】窗口，通過(guò)單擊新添加的過(guò)濾器旁邊的單選按鈕激活新設(shè)置的過(guò)濾器，如圖8-11所示。圖8-11激活新建的過(guò)濾器④規(guī)定過(guò)濾器動(dòng)作步驟1：在【新規(guī)則屬性】窗口中選擇“篩選器操作”選項(xiàng)卡，取消“使用‘添加向?qū)А边x項(xiàng)，單擊“添加”按鈕，如圖8-12所示。步驟2：在【新篩選器操作屬性】窗口中默認(rèn)選擇“協(xié)商安全”選項(xiàng)，單擊“添加”按鈕。

步驟3：在【新增安全措施】窗口中默認(rèn)選擇“完整性和加密”選項(xiàng)，選擇“自定義選項(xiàng)”，單擊“設(shè)置”按鈕，在【自定義安全措施設(shè)置】窗口中可選擇AH或ESP協(xié)議及相應(yīng)算法，如圖8-13所示。圖8-12添加新篩選器動(dòng)作圖8-13自定義安全措施設(shè)置步驟4：在【新增安全措施】窗口中單擊“關(guān)閉”按鈕，返回【新篩選器屬性】對(duì)話框，確保不選擇“允許和不支持IPSec的計(jì)算機(jī)進(jìn)行不安全的通信”，單擊“確定”按鈕。步驟5：在如圖8-11所示的【新規(guī)則屬性】窗口中的“篩選器操作”選項(xiàng)卡中選中“新篩選器操作”并激活，如圖8-12所示。⑤設(shè)置身份驗(yàn)證方法步驟1：在如圖8-11所示【新規(guī)則屬性】窗口中的“身份驗(yàn)證方法”選項(xiàng)卡中單擊“添加”按鈕，打開(kāi)【新身份驗(yàn)證方法屬性】窗口，選擇“使用此字串(預(yù)共享密鑰)”單選框，并輸入預(yù)共享密鑰字串“ABC”。步驟2：在【身份認(rèn)證方法屬性】窗口中單擊“確定”按鈕返回“身份驗(yàn)證方法”選項(xiàng)卡，選中新生成的“預(yù)共享密鑰”，單擊“上移”按鈕使其成為首選，如圖8-14所示。圖8-14設(shè)置預(yù)共享密鑰⑥設(shè)置“隧道設(shè)置”單擊如圖8-11所示【新規(guī)則屬性】窗口中的“隧道設(shè)置”選項(xiàng)卡，默認(rèn)選擇“此規(guī)則不指定IPSec隧道”。⑦設(shè)置“連接類型”步驟1：?jiǎn)螕羧鐖D8-11所示【新規(guī)則屬性】窗口中的“連接類型”選項(xiàng)卡，默認(rèn)選擇“所有網(wǎng)絡(luò)連接”。步驟2：?jiǎn)螕簟瓣P(guān)閉”按鈕，返回【新IP安全策略A屬性】窗口，如圖8-15所示。圖8-15新IP過(guò)濾器設(shè)置完成并激活步驟3：?jiǎn)螕簟按_定”按鈕，返回【本地安全策略】窗口，如圖8-16所示。圖8-16新IP安全策略設(shè)置完成（2）配置服務(wù)器主機(jī)B的IPSec仿照前面對(duì)主機(jī)A的配置對(duì)主機(jī)B的IPSec進(jìn)行配置。（3）測(cè)試IPSec①不激活主機(jī)A、主機(jī)B的IPSec進(jìn)行測(cè)試

分別在主機(jī)A、B上Ping…，要求對(duì)方主機(jī)可以Ping通。激活一方的IPSec進(jìn)行測(cè)試步驟1：在主機(jī)A新建立的IP安全策略上單擊鼠標(biāo)右鍵并選擇“指派”，激活該IP安全策略。步驟2：在主機(jī)B執(zhí)行命令PING。步驟3：在主機(jī)A執(zhí)行命令PING。激活雙方的IPSec進(jìn)行測(cè)試此時(shí)在主機(jī)A和主機(jī)B之間建立了一個(gè)共享密鑰的IPSec安全通道，它們之間能正常Ping通并進(jìn)行所有訪問(wèn)，如圖8-17所示。如Web、FTP訪問(wèn)。而其他機(jī)器如主機(jī)C(2)則不能訪問(wèn)主機(jī)A和B提供的任何服務(wù)，從而可以保證主機(jī)A和B在公網(wǎng)上傳輸數(shù)據(jù)的安全。如果在主機(jī)C上運(yùn)行第三方網(wǎng)絡(luò)監(jiān)聽(tīng)軟件對(duì)主機(jī)A和B之間的通信數(shù)據(jù)進(jìn)行捕獲可以發(fā)現(xiàn)，捕獲的都是加密的數(shù)據(jù)包，而不是明文數(shù)據(jù)包，也就不能從中得到用戶名和密碼等敏感信息。圖8-17使用IPsec通道執(zhí)行Ping命令（4）協(xié)議分析ESP步驟1：主機(jī)B對(duì)Ethreal工具進(jìn)行設(shè)置，并啟動(dòng)使其處于捕包狀態(tài)。步驟2：主機(jī)B打開(kāi)cmd命令符窗口，執(zhí)行ping命令。等待A回應(yīng)后，停止Ethreal捕包狀態(tài)，觀察捕獲的數(shù)據(jù)，如圖8-18所示,記錄ESP協(xié)議的類型，SPI值、序列號(hào)值以及判斷ICMP數(shù)據(jù)包是否被加密封裝。圖8-18ESP協(xié)議概要解析步驟3：更改IPSec的安全策略為完整性認(rèn)證（AH），重復(fù)步驟1、2，記錄AH協(xié)議的類型，SPI值，序列號(hào)?！緦?shí)驗(yàn)報(bào)告】實(shí)驗(yàn)報(bào)告正文部分格式及內(nèi)容如下：實(shí)驗(yàn)?zāi)康模航o出本次實(shí)驗(yàn)所涉及并要求掌握的知識(shí)點(diǎn)。實(shí)驗(yàn)內(nèi)容：給出實(shí)驗(yàn)的具體內(nèi)容。實(shí)驗(yàn)環(huán)境：給出完成實(shí)驗(yàn)所需要的硬件環(huán)境、軟件等。實(shí)驗(yàn)步驟；給出完成實(shí)驗(yàn)所做的各種準(zhǔn)備及實(shí)驗(yàn)時(shí)主要步驟。實(shí)驗(yàn)數(shù)據(jù)及結(jié)果分析：給出實(shí)驗(yàn)時(shí)所用數(shù)據(jù)，實(shí)驗(yàn)的結(jié)果，以及對(duì)結(jié)果的分析。實(shí)驗(yàn)總結(jié)與心得：總結(jié)實(shí)驗(yàn)過(guò)程，分析實(shí)驗(yàn)中出現(xiàn)的問(wèn)題及解決