前言:这是这学期防火墙课程的一个实验,觉得挺有意义,所以记录在博客里。
一、 实验目的
本实验主要验证IP通信在建立IPSec隧道前后的变化,为了简化实验过程,这里只对ICMP进行加密,但在配置的过程中即可发现,其他IP协议要进行同样的加密也是非常简单的。
二、实验环境
实验中使用以下软件和硬件设备
(1)Windows XP操作系统至少2台;
(2)使用wireshark软件进行监控;
(地址根据你所使用的主机地址确定)
五、实验步骤
(1)为了观察方便,首先把嗅探者的嗅探软件打开,然后在两台机器中启动PING,即在169.254.221.106机器中使用命令ping 169.254.201.153 –t,而在169.254.201.153机器中使用命令ping 169.254.221.106 –t。这样可以看到两台机器均能显示正常的回应。而在嗅探器中,同样显示其正常的ICMP通信。
(2)能观察到两端的正常通信后,开始IPSec的配置(一个同学先设置,设置完查看运行结果后,另外一个同学再设置)。打开控制面板中的【管理工具】,双击里面的【本地安全策略】。右击左边树状菜单中的【IP安全策略,在本地机器】。
(3)选择右键菜单中的【创建IP安全策略】,系统将弹出【IP安全策略向导】。单击【下一步】按钮。然后为该安全策略命名,如“icmp-ipsec”,再单击【下一步】按钮。
(4)在【安全通信请求】对话框中,去掉【激活默认响应规则】的选择,单击【下一步】按钮,此时已完成了安全策略向导,保留【编辑属性】的选择,然后单击【完成】按钮退出。
(5)完成后,将立即弹出其属性对话框。首先去掉【使用“添加向导”】的选择,然后单击【添加】按钮,弹出如图所示的对话框。
(6)在【IP筛选器列表】选项卡中,选择【所有ICMP通信量】,由于软件本身表达如此,故未改。
(7)单击【筛选器操作】标签,选择【筛选器操作】列表中的【需要安全】。
(8)单击【身份验证方法】标签,单击【添加】按钮,弹出如图所示的对话框。
(9)选择【使用此字串(预共享密钥)】,然后输入共享密钥,此处使用“123456”,然后单击【确定】按钮退出。
(10)回到【新规则属性】对话框,单击【确定】按钮退出,同样,回到【icmp-IPSec属性】对话框后,单击【关闭】按钮退出。
(11)回到【本地安全设置】窗口,右击icmp-ipsec,选择【指派】菜单项,如图所示。
(12)此时观察两端的ICMP通信,将发现以下情况:在已配置策略的一端,系统将提示Negotiating IP Security;而没有配置的一端,系统直接提示Requst timed out,如图所示。
(13)在另一端,进行上述策略的同样设置(完全一样),请再次观察效果,此时发现ICMP通信恢复了正常,重点在于嗅探机的变化,抓取数据包,并分析数据包。
可以发现,sniffer Pro能够识别出数据包是ESP的,但其内容与前面观察到的ICMP数据包已经完全不同了。
思考:
(1)比较直接传输的数据包和通过虚拟专用网传输的数据包的不同。
通过虚拟专用网(v。。p。。n)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
直接传输不需要身份验证,安全性比较低。
