资源描述:
《实验2_IPSec—IP安全协议》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、实验2IPSec—IP安全协议伴随着密码学的发展,数字签名技术也得以实现,利用数字签名技术可以保证信息传输过程中的数据完整性以及提供对信息发送者身份的认证和不可抵赖性。一、实验目的1.了解IPSec主要协议2.理解IPSecI作原理3.Windows环境下能够利用IPSec在两台主机间建立安全隧道二、实验环境Windows,交换网络结构,每组2人,密码工具,网络协议分析器三、实验原理IPSec工作原理IPSec包含4类组件:(1)TPSec进程本身:验证头协议(AH)或封装安全载荷协议(ESP);(2)Internet密钥交换协议(T
2、KE,InternetKeyExchange):进行安全参数协商;(3)SADB(SADatabase):用于存储安全关联(SA,SecurityAssociation)等安全相关参数;(4)SPD(SecurityPolicyDatabase,安全策略数据库):用于存储安全策略。TPSec的工作原理类似于包过滤防火墙。TPSec是通过查询安全策略数据库SPD來决定接收到的IP包的处理,但不同于包过滤防火墙的是,TPSec対IP数据包的处理方法除了丢弃、直接转发(绕过TPSec)外,还冇进行TPSec的处理。进行TPSec处理意味着对
3、TP数据包进行加密和认证,保证了在外部网络传输的数据包的机密性、真实性、完整性,使通过Internet进行安全的通信成为可能。在TETF的标准化下,TPSec的处理流程受到了规范。1.IPSec流出处理如图2-1,在流出处理过程中,传输层的数据包流进IP层,然后按如下步骤执行:图2-1TPSec流出处理流程(1)查找合适的安全策略。从TP包中提収岀“选择符”來检索SPD,找到该IP包所対应的流出策略,之后用此策略决定对•该IP包如何处理:绕过安全服务以普通方式传输此包或应用安全服务。(2)查找合适的SA。根据策略提供的信息,在安全关联
4、数据库中查找为该IP包所应该应用的安全关联SA。如果此SA尚未建立,则会调用IKE,将这个SA建立起來。此SA决定了使用何种基木I办议(AH或ESP),采用哪种模式(隧道模式或传输模式),以及确定了加密算法,验证算法,密钥等处理参数。(3)根据SA进行具体处理。根据SA的内容,対TP包的处理将会有儿种情况:使用隧道模式下的RSP或All协议,或者使用传输模式下的ESP或All协议。1.IPSec流入处理如图2-2,在流入处理过程中,数据包的处理按如下步骤执行:图2-2TPSec流入处理流程(1)IP包类型判断:如果1P包小不包含IPS
5、ec头,将该包传递给下一层;如果IP包中包含IPSec头,会进入下面的处理。(2)查找合适的SA:从IPSec头中摘出SPI,从外部IP头中摘出目的地址和IPSec协议,然后利用<SPI,目的地址,协议〉在SAD中搜索SPI。如果SA搜索失败就丢弃该包。如果找到对应SA,则转入以下处理。(3)具体的IPSec处理:根据找到的SA对数据包执行验证或解密进行具体的IPSec处理。(4)策略杏询:根据选择符杳询SPD,根据此策略检验TPSec处理的应用是否正确。最后,将IPSec头剥离下来,并将包传递到下一层,根据采用的模式的不同,下一层或
6、者是传输层,或者是网络层。四、实验步骤本练习主机A、B为一组,C、D为一组,E、F为一组。下面以主机A、B为例,说明实验步骤。IPsec虚拟专用网络的设置1.进入IPsec配置界面(1)主机A、B通过“开始”丨“程序”「管理工具”丨“木地安全策略”打开IPScc相关配置界面,如图2-3所示。(2)在默认情况下IPsec的安全策略处于没有启动状态,必须进行指定,IPsec才能发挥作用。IPsec包含以下3个默认策略,如图2-3所示。石本地安全设舌文件⑹I*作(A)少安全设置回悴戶策ig囹本他策略
7、*
8、_1公啊幣略w□软件限制策阳名称「卷
9、述策略已指潦戲展务器(谐求安全)对所有Pil讯怎是使用K...否觀容尸£*(仅G应)正第11讯4安全的).«...否射安全嚴务88(需更安全)对修有Ail讯0是便用比・・否图2-3本地安全设置•安全服务器:对所有TP通讯总是使用Kerberos信任请求安全。不允许与不被信任的客户端的不安全通讯。这个策略用于必须采用安全通道进行通信的计算机。•客户端:正常通信,默认情况下不使用TPSeco如果通信对方请求TPSec安全通信,则可以建立TPSec虚拟专用隧道。只有与服务器的请求协议和端口通信是安全的。•服务器:默认情况下,对所冇TP通信总
10、是使用Kerberos信任请求安全。允许与不响应请求的客户端的不安全通信。(3)以上策略可以在单台计算:机上进行指派,也可以在组策略上批量指派,为了达到通过I办商后双方可以通信的冃的,通信双方都需要设置同样的策略并加以指