摘要: 课程编写

 课程编写

类别

内容

实验课题名称

Ipsec安全实验

实验目的与要求

ipsec安全协议配置

实验环境

VPC1(虚拟PC

操作系统类型: windows xpwindows 2003,网络接口:eth0

VPC1 连接要求

PC 网络接口,本地连接与实验网络直连

软件描述

实验环境描述

1、 学生机与实验室网络直连;

2、 VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通;

预备知识

IPSecInternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000Windows XP  Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。

安全协议

(1)AH(AuthenticationHeader) 协议。

它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。

 

 IPv6 中协议采用 AH 因为在主机端设置了一个基于算法独立交换的秘密钥匙非法潜入的现象可得到有效防止秘密钥匙由客户和服务商共同设置。在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。

 

(2)ESP(EncapsulatedSecurityPayload) 协议。

它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改但并不对数据进行变形转换数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。

安全联盟 SA

安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟

 

实验内容

配置ipsec安全协议

实验步骤

1.学生单击实验拓扑按钮,进入实验场景,进入目标主机,(第一次启动目标主机,还需要安装java空间),如图所示:

C003001002-IPSec安全技术-林小屋博客

 

2.打开主机C003001002w200301(以下简称PC1C003001002w200302(以下简称PC2),分别使用默认账号administrator ,密码123456。如图所示:

C003001002-IPSec安全技术-林小屋博客

3.首先分别查看pc机的ip地址。

PC1:

C003001002-IPSec安全技术-林小屋博客

PC2:

C003001002-IPSec安全技术-林小屋博客

4.使用ping命令测试其连通性,并使用wireshark嗅探工具进行抓包。

设置options

C003001002-IPSec安全技术-林小屋博客

设置网卡:

C003001002-IPSec安全技术-林小屋博客

开始抓包:

C003001002-IPSec安全技术-林小屋博客

5.能够成功ping通。

C003001002-IPSec安全技术-林小屋博客

6.停止抓包并查看。

C003001002-IPSec安全技术-林小屋博客

 

C003001002-IPSec安全技术-林小屋博客

7.windows 2003上配置ipsec

打开本地安全设置,然后新建一个ip安全策略。

C003001002-IPSec安全技术-林小屋博客

创建ip安全策略:hh_ipsec01

C003001002-IPSec安全技术-林小屋博客

8.设置ip安全策略属性。

C003001002-IPSec安全技术-林小屋博客

9.规则

Ip安全策略是有规格构成的,所以新添加一个规则。

C003001002-IPSec安全技术-林小屋博客

10.选择“此规则不指定隧道”:表示这里使用ipsec的传输模式。

C003001002-IPSec安全技术-林小屋博客

11.这里选择“所有网络连接”:由于只有一个本地网卡,所有可以选择所有的网络连接,ipsec协议在本地连接上生效。

C003001002-IPSec安全技术-林小屋博客

12.设置ip筛选器列表,这里得ip筛选器有点响路由器中的访问控制,用来设置匹配数据流的。

添加“ip筛选器列表”:

C003001002-IPSec安全技术-林小屋博客

设置ip筛选器名称为:hh_filter01.

C003001002-IPSec安全技术-林小屋博客

13.添加ip筛选器过滤规则。

C003001002-IPSec安全技术-林小屋博客

设置源目地址:

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

14.筛选器列表设置完成后,设置筛选器操作。

添加一个新的筛选器操作。

C003001002-IPSec安全技术-林小屋博客

 

筛选器操作名称:

C003001002-IPSec安全技术-林小屋博客

设置操作选项:

C003001002-IPSec安全技术-林小屋博客

选择不与不支持ipsec的计算机通讯。

C003001002-IPSec安全技术-林小屋博客

自定义选择完整与加密算法等。

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

15.设置省份验证方法。

证书验证、预共享密钥,这里选择简单的预共享密钥。

C003001002-IPSec安全技术-林小屋博客

16.设置完成后,我可以再次查看以及可以修改。

设置了ip筛选列表、筛选器操作、身份验证方法、隧道设置、连接类型。

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

C003001002-IPSec安全技术-林小屋博客

17.右击,选择“指派”应用该策略。

C003001002-IPSec安全技术-林小屋博客

18.测试ping命令。

协商失败:由于ipsec通信需要在双方都进行配置,所以协商失败。

C003001002-IPSec安全技术-林小屋博客

19.下面在另一主机上配置相同的ipsec,然后在测试ping命令并抓包。

发送4个包,第一用于需要协商。

C003001002-IPSec安全技术-林小屋博客

20.wireshark抓包分析。

ARP:首先是广播

ISAKMP:然后是ipsec第一阶段过程,使用的是isakmp协议。

ESPipsec使用的esp封装协议。

C003001002-IPSec安全技术-林小屋博客

21.实验完毕,关闭虚拟机和所有窗口。