C003001002-IPSec安全技术

摘要：课程编写

课程编写
类别		内容
实验课题名称		Ipsec安全实验
实验目的与要求		ipsec安全协议配置
实验环境	VPC1(虚拟PC）	操作系统类型： windows xp、windows 2003，网络接口：eth0
	VPC1 连接要求	PC 网络接口，本地连接与实验网络直连
	软件描述	无
	实验环境描述	1、学生机与实验室网络直连; 2、 VPC1与实验室网络直连; 3、学生机与VPC1物理链路连通；
预备知识		IPSec（InternetProtocolSecurity）是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。安全协议 (1)AH(AuthenticationHeader) 协议。它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。在 IPv6 中协议采用 AH 后, 因为在主机端设置了一个基于算法独立交换的秘密钥匙, 非法潜入的现象可得到有效防止, 秘密钥匙由客户和服务商共同设置。在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。 (2)ESP(EncapsulatedSecurityPayload) 协议。它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。安全联盟 SA 安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟
实验内容		配置ipsec安全协议
实验步骤		1.学生单击实验拓扑按钮，进入实验场景，进入目标主机，（第一次启动目标主机，还需要安装java空间），如图所示： 2.打开主机C003001002w200301（以下简称PC1）C003001002w200302（以下简称PC2），分别使用默认账号administrator ,密码123456。如图所示: 3.首先分别查看pc机的ip地址。 PC1: PC2: 4.使用ping命令测试其连通性，并使用wireshark嗅探工具进行抓包。设置options：设置网卡：开始抓包： 5.能够成功ping通。 6.停止抓包并查看。 7.在windows 2003上配置ipsec。打开本地安全设置，然后新建一个ip安全策略。创建ip安全策略：hh_ipsec01 8.设置ip安全策略属性。 9.规则 Ip安全策略是有规格构成的，所以新添加一个规则。 10.选择“此规则不指定隧道”：表示这里使用ipsec的传输模式。 11.这里选择“所有网络连接”：由于只有一个本地网卡，所有可以选择所有的网络连接，ipsec协议在本地连接上生效。 12.设置ip筛选器列表，这里得ip筛选器有点响路由器中的访问控制，用来设置匹配数据流的。添加“ip筛选器列表”：设置ip筛选器名称为：hh_filter01. 13.添加ip筛选器过滤规则。设置源目地址： 14.筛选器列表设置完成后，设置筛选器操作。添加一个新的筛选器操作。筛选器操作名称：设置操作选项：选择不与不支持ipsec的计算机通讯。自定义选择完整与加密算法等。 15.设置省份验证方法。证书验证、预共享密钥，这里选择简单的预共享密钥。 16.设置完成后，我可以再次查看以及可以修改。设置了ip筛选列表、筛选器操作、身份验证方法、隧道设置、连接类型。 17.右击，选择“指派”应用该策略。 18.测试ping命令。协商失败：由于ipsec通信需要在双方都进行配置，所以协商失败。 19.下面在另一主机上配置相同的ipsec，然后在测试ping命令并抓包。发送4个包，第一用于需要协商。 20.wireshark抓包分析。 ARP：首先是广播 ISAKMP:然后是ipsec第一阶段过程，使用的是isakmp协议。 ESP：ipsec使用的esp封装协议。 21.实验完毕，关闭虚拟机和所有窗口。