GRE Over IPSec配置及抓包分析 |
您所在的位置:网站首页 › wireshark ipsec协商过程 › GRE Over IPSec配置及抓包分析 |
1、网络A属于10.1.1.0/24子网,与A的1/0/3接口相连 2、网络B属于10.1.2.0/24子网,与B的1/0/3接口相连 3、防火墙A和B之间的路由可达 通过组网实现以下需求: NGFW_A与NGFW_B之间建立GRE Over IPSec隧道,使网络A和网络B之间可以实现信息的加密传输。 配置过程 1、首先配置好中间的Internet部分,这里就不演示了 2、配置GRE Tunnel接口建议在配置的时候,将tunnel接口和隧道源端口(本段与公网连接的物理接口)加入到同一安全区域。如果他们加入了不同的安全区域,需要配置安全策略,使两个安全区域能够互相访问。 NGFW_A防火墙配置: 1)将接口加入安全区域,并配置域间策略,以保证网络通信正常(略) 2)配置GRE隧道接口 # interface Tunnel0/0/0 ip address 10.3.1.1 255.255.255.0 tunnel-protocol gre source 1.1.3.1 destination 1.1.5.1 #3)配置Tunnel接口转发路由 [NGFW_A]ip route-static 10.1.2.0 24 Tunnel 0/0/0NGFW_B防火墙 配置: 1)将接口加入安全区域,并配置域间策略,以保证网络通信正常(略) 2)配置GRE隧道接口 # interface Tunnel0/0/0 ip address 10.3.1.2 255.255.255.0 tunnel-protocol gre source 1.1.5.1 destination 1.1.3.1 #3)配置Tunnel接口转发路由 [NGFW_B]ip route-static 10.1.1.0 24 Tunnel 0/0/0 3、配置IPSec VPNNGFW_A防火墙配置: 1)配置ACL,定义需要保护的数据流: [NGFW_A]acl 3000 [NGFW_A-acl-adv-3000]rule permit ip source 1.1.3.1 0 destination 1.1.5.1 02)配置IKE Peer [NGFW_A]ike peer FW_B v1 //配置IKE第一阶段的协商 [NGFW_A-ike-peer-FW_B]pre-shared-key cipher 12345 //配置预共享秘钥为12345 [NGFW_A-ike-peer-FW_B]remote-address 1.1.5.1 //对方的IP地址 [NGFW_A-ike-peer-FW_B]exchange-mode main //设置模式为主模式(默认)3)配置IPSec Proposal [NGFW_A]ipsec proposal p1 //配置第二阶段变换集 可以就只配置上面这一条,那它的IPSec提议会使用默认的;当然,也可以自行配置,如下: [NGFW_A-ipsec-proposal-p1]encapsulation-mode tunnel //设置封装模式为隧道模式(默认) [NGFW_A-ipsec-proposal-p1]esp authentication-algorithm sha1 //设置esp的认证算法为sha1(默认为MD5) [NGFW_A-ipsec-proposal-p1]esp encryption-algorithm des //设置esp的加密算法为des(默认) [NGFW_A-ipsec-proposal-p1]transform esp //设置传输协议为esp4)配置IPSec Policy [NGFW_A]ipsec policy policy1 1 isakmp //配置调用策略 [NGFW_A-ipsec-policy-isakmp-policy1-1]security acl 3000 //调用加密数据acl [NGFW_A-ipsec-policy-isakmp-policy1-1]ike-peer FW_B //调用第一阶段协商策略 [NGFW_A-ipsec-policy-isakmp-policy1-1]proposal p1 //调用第二阶段变换集 [NGFW_A-ipsec-policy-isakmp-policy1-1]q [NGFW_A]int GigabitEthernet 1/0/1 //进入接口视图 [NGFW_A-GigabitEthernet1/0/1]ipsec policy policy1 //调用策略NGFW_B防火墙配置: 1)配置ACL,定义需要保护的数据流: [NGFW_B]acl 3000 [NGFW_B-acl-adv-3000]rule permit ip source 1.1.5.1 0 destination 1.1.3.1 02)配置IKE Peer [NGFW_B]ike peer FW_A v1 //配置IKE第一阶段的协商 [NGFW_B-ike-peer-FW_A]pre-shared-key cipher 12345 [NGFW_B-ike-peer-FW_A]remote-address 1.1.3.1 [NGFW_B-ike-peer-FW_A]exchange-mode main3)配置IPSec Proposal [NGFW_B]ipsec proposal p1 //配置第二阶段变换集 可以就只配置上面这一条,那它的IPSec提议会使用默认的;当然,也可以自行配置,如下: [NGFW_B-ipsec-proposal-p1]encapsulation-mode tunnel [NGFW_B-ipsec-proposal-p1]esp authentication-algorithm sha1 [NGFW_B-ipsec-proposal-p1]esp encryption-algorithm des [NGFW_B-ipsec-proposal-p1]transform esp4)配置IPSec Policy [NGFW_B]ipsec policy policy1 1 isakmp //配置调用策略 [NGFW_B-ipsec-policy-isakmp-policy1-1]security acl 3000 [NGFW_B-ipsec-policy-isakmp-policy1-1]ike-peer FW_A [NGFW_A-ipsec-policy-isakmp-policy1-1]proposal p1 [NGFW_B-ipsec-policy-isakmp-policy1-1]q [NGFW_B]int GigabitEthernet 1/0/1 [NGFW_B-GigabitEthernet1/0/1]ipsec policy policy1 使用wireshark抓包进行分析【重要】在进行抓包分析之前,需要对IPSec有一定的了解,建议看下面链接部分内容: IPSec详解 IKE协商阶段 在NGFW_B的 1/0/1接口抓包分析:【注意】如果需要看到具体的IPSec协商过程,需要重启NGFW_B来观察其协商过程 第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-DES,散列机制-SHA,Diffie-Hellman组-2,认证机制-预共享 DLAN6.25开始支持IKEv2 消息2是应答方对发送方信息的应答,当应答方查找SPD查找到发送方相关的策略后,将自己的信息同样发送给对端,当然,应答方在发送传输集时将会生成自己Cookie并添加到数据包中,数据包信息如下: 第1、2个包里重点在于ISAKMP策略的协商,这是为后面能在一个安全的环境之下协商IPSEC SA策略打下基础,因为这些策略直接提供对第二阶段的IPSEC SA策略协商的加密保护; 主模式交互——消息3当完成了第一步骤双方的策略协商后,则开始进行第二步骤DH公共值交换,随数据发送的还包含辅助随机数,用户生成双方的加密密钥。消息3的数据包信息如下: 应答方同样将本端的DH公共值和Nonce随机数发送给对端,通过消息4传输: 第五条消息由发起者向响应者发送,主要是为了验证对端就是自己想要与之通信的对端。这可以通过预共享、数字签名、加密临时值来实现 双方交换DH公共值后,结合随机数生成一系列的加密密钥,用于双方加密、校验,同时生成密钥后,将公共密钥和本端身份信息等进行hash,hash值传输给对端进行验证设备身份。发送方通过消息5发送给接收方,可以看到载荷类型为身份验证载荷,所携带的信息经过加密,无法查看相关信息 第六条消息由响应者向发起者发送,主要目的和第五条一样。 在这六条消息过后,也就是验证一旦通过,就进入了IKE第二阶段:快速模式 ISAKMP/IKE阶段2只有一种信息交换模式——快速模式,它定义了受保护数据连接是如何在两个IPSEC对等体之间构成的。 深信服的标准IPSEC 有几对的出站入站,在DLAN运行状态里面就会显示几条连接,每一对快速模式交互的包都是三个,第一个包由主连接发起方发起响应 快速模式有两个主要的功能: 1.协商安全参数来保护数据连接。 2.周期性的对数据连接更新密钥信息。 第二阶段的效果为协商出IPSec 单向SA,为保护IPsec数据流而创建。第二阶段整个协商过程受第一阶段ISAKMP/IKE SA保护。 第二阶段的所有数据包都进行了加密,抓取的数据如下: SANGFOR设备上称PFS为“密钥完美向前保密” 在IPSEC协商的第一阶段,通过DH算法进行了密钥的交互,并生成了加密密钥。如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提高了数据的安全性。 数据传输阶段
|
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |