实验一 常见对称密码算法的加解试验Word文档下载推荐.docx
《实验一 常见对称密码算法的加解试验Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实验一 常见对称密码算法的加解试验Word文档下载推荐.docx(41页珍藏版)》请在冰豆网上搜索。
◆信息“完整性”的校验方法。
装有Win_MD5.exe的WindowsXP/2000/2003等(此软件不需安装)。
(1)完成文件的“完整性”校验实验;
◆轻微改动明文内容,仔细对比试验结果,体会密码算法的“雪崩”效应;
◆可对大块文件进行Hash运算,体会对称算法的“速度”优势;
◆Hash函数对文件完整性的验证是如此的有效,在众多UNIX和Linux中都有实现,感兴趣的同学可以用“md5sum”命令在UNIX和Linux中测试。
实验三口令猜解实验
◆掌握口令的猜解技巧;
◆通过试验总结“健壮的口令”应满足的条件。
◆何谓“健壮的口令”;
◆通过试验体会“字典攻击”、“穷举攻击”。
安装有AdvancedRARPasswordRecovery或LC5的WindowsXP/2000/2003等。
(1)完成“字典攻击”和“穷举攻击”实验;
(2)体会“社会工程攻击”在口令猜解中的应用。
◆仔细观察实现现象,思考体会“密钥空间”的概念;
◆在使用字典工具生成“字典文件”是,一定要注意字典文件的大小;
通过多次的试验,总结口令猜解的技巧,体会其中“社会工程攻击”的思想。
实验四公钥技术相关实验
◆通过数字签名、验证、加密和数字信封等试验,掌握公钥技术的应用。
◆数字签名、公钥加密和数字信封;
◆对信息安全中“机密性”、“完整性”和“不可否认性”的认识。
至少有2GB或以上的空余磁盘空间。
装有AdobeAcrobat7.0/8.0Professional的WindowsXP/2000/2003等。
(1)创建“自签名证书”,并秘密保存;
导出与私钥对应的个人公钥,公开给自己的合作者;
(2)私钥签名试验:
用自己的私钥签名一个PDF文档并公布;
思考:
怎么识别签名?
(3)公钥验证试验:
拿到含有签名信息的PDF文档,任何人都可以用签名者的公钥来验证其签名;
怎么才能拿到签名者的合法公钥?
可信中心还是其它?
(4)用合作伙伴的公钥和自己的私钥结合,加密一个PDF文档,看看都谁能打开它?
是怎么打开的?
(5)完成“数字信封”综合试验:
加密、签名、验证。
◆私钥一定要秘密、可靠地保存(要额外备份),并且保护私钥的口令不能太简单和泄露;
◆私钥和公钥成对使用,一个加密,另一个用来解密;
◆公钥应该有“信任”级别。
实验五WindowsIPsec试验
◆了解IPsec的体系结构;
◆掌握IPsec筛选器;
◆了解IPsec典型应用;
◆IPsec的部署与应用;
◆AH与ESP的保护方式
◆IPsec主机到主机的应用模式;
1024MB或以上;
至少有10GB或以上的空余磁盘空间。
VMwareWorkstation6.0、WindowsServer2003EnterpriseEdition、SnifferPro或NetworkMonitor、WindowsXPProfessional。
(3)实验拓扑
图3-1WindowsIPsec试验拓扑
(4)实验环境准备(可借助上一个试验环境):
CA:
安装WindowsServer2003EnterpriseEdition,配置IP信息,安装域控制器,并升级域功能;
Web:
安装WindowsServer2003Standard/EnterpriseEdition及InternetInformationServices(IIS)的计算机,并安装微软自带的网络监视器(NetworkMonitor);
●配置IP信息,安装IIS;
●创建用于测试的Web站点,(常规Web,最好与CA的DNS相结合)。
PC:
PC是一部运行WindowsXPProfessional的计算机,当作IPsec客户端;
4.实验要求及实验步骤
方案一:
使用基于“预共享密钥”认证的IPsec的传输模式(本试验侧重于IPsec筛选器的使用)
预备前提:
在PC中分别用ping命令和IE测试DNS的正常解析及Web的正常访问,并使用网络监视器来捕获和分析网络传输的明文数据;
IPsec客户端(我们一般习惯于客户机访问服务器的思维过程,因此先在客户端上配置更易上手),具体操作步骤如下:
(1)打开本机的“IP安全策略管理”和“IP安全监视器”,配置符合试验要求的安全策略。
具体如下:
【开始】→【运行】→【mmc】→【文件】→【添加/删除管理单元】→【添加】→【IP安全策略管理】→【添加】,在此处,我们选择“本地计算机”并完成操作。
添加【IP安全监视器】→【添加】→【关闭】→【确定】。
(2)在控制台根节点的“IP安全策略管理,在本地计算机”中,右击选择“创建IP安全策略”,在弹出的“IP安全策略向导”的帮助下,一步步创建所需的IP安全策略;
(3)在“IP安全策略向导”对话框中的“IP安全策略名称”页面的“名称”框中填入合适的(见名知意)IP安全策略名称,如“AllowPCPingWeb”,如下图3-2所示:
图3-2IP安全策略名称
(4)下一步,在【IP安全策略向导】对话框的“安全通讯请求”页面中取消“激活默认的响应规则”复选框;
(5)下一步,在“IP安全策略向导”对话框的“正在完成IP安全策略向导”页面中选中“编辑属性”复选框;
(6)完成IP安全策略向导的使用,在弹出的如图3-3所示的IP安全策略属性对话框中,在“常规选项卡”中取消“使用添加向导”复选框,并单击“添加”按钮,添加自定义的“IP安全规则”;
图3-3创建新IP安全规则
(7)在弹出的如图3-4所示的“新规则属性”对话框中的“IP筛选器列表”选项卡中,单击【添加】按钮;
图3-4创建新筛选器列表
(8)在弹出的如图3-5所示的“IP筛选器列表”对话框中的“名称”选项,填写合适的IP筛选器列表名称,(如:
AllowPCPingwebFilterList),取消“使用添加向导”复选框,并单击【添加】按钮;
图3-5添加IP筛选器
(9)在弹出的如图3-6所示的“筛选器属性”对话框中,在“寻址”选项卡,在“源地址”下拉列表框中选择“我的地址”,在“目标地址”下拉列表框中选择“一个特定的IP地址”,并在IP地址字段中填写正确的Web服务器地址,并确保“镜像”复选框有效;
图3-6筛选器属性地址对话框
(10)在如图3-7所示的“筛选器属性”对话框中,在“协议”选项卡中的“选择协议类型”下拉列表框中选择ping命令所需的“ICMP”协议;
图3-7筛选器属性协议对话框
(11)在如图3-7中的“筛选器属性”对话框中,在“描述”选项卡中的“描述”字段中填写合适的筛选器名称,如:
AllowPCPingWeb;
确定,完成筛选器的创建。
(12)如图3-8所示,在完成的IP筛选器列表中,选中我们刚刚创建的IP筛选器列表,单击“筛选器操作”选项卡;
图3-8创建筛选器操作
(13)在如图3-9所示的“新规则属性”对话框中的“筛选器操作”选项卡中,取消“使用添加向导”复选框,单击【添加】按钮;
图3-9添加新的筛选器操作
(14)在如图3-10所示的“新筛选器操作属性”对话框中,在“安全措施”选项卡,选中“协商安全”复选框,并单击【添加】按钮;
图3-10新筛选器操作属性
(15)在如图3-11弹出的“新增安全措施”对话框中,选中“仅保持完整性”复选框,并单击“确定”按钮;
图3-11新增安全措施
(16)在“新筛选器属性”对话框中,在“常规”选项卡的“名称”字段为筛选器操作填写合适的名称,如:
“AllowPCPingWebWithAH”,单击确定,完成筛选器操作的创建。
(17)在如图3-12所示的“新规则属性”对话框中,在“筛选器操作”选项卡中,选中我们刚刚创建的筛选器操作,点击“身份验证方法”选项卡,
图3-12创建身份验证方法
(18)如图3-13所示在“新规则属性”对话框中的“身份验证方法”选项卡上单击【添加】按钮;
图3-13添加新身份验证方法
(19)如图3-14在弹出的“新身份验证方法属性”对话框中,选中“使用此字符串(预共享密钥)”并在对话框中填写合适的“预共享密钥”;
图3-14预共享密钥身份验证
(20)单击“确定”,返回上一级选项卡,如图3-15所示,在“身份验证方法首选顺序”框内,上移“预共享的密钥”为首选身份验证方法,并应用;
图3-15身份验证方法优先级
(21)在“新规则属性”对话框中的“隧道设置”选项卡,默认选择“此规则不指定IPsec隧道”;
(22)在“新规则属性”对话框中的“连接类型”选项卡,默认选择“所有网络连接”;
(23)至此,PC端的自定义的IP安全策略设置完毕;
只需右键选中自定义的策略,单击“指派”即可。
◆Web:
2003web服务器端配置
(1)打开本机的“IP安全策略管理”和“IP安全监视器”,配置自定义的安全策略,具体方法同上;
(2)在本机,创建自定义的IP安全策略,与在PC计算机上的配置相对应,配置方法同上,配置内容概要如下:
AllowPCPingWebWithAH,步骤如下:
1)新建IP安全策略名称:
AllowPCPingweb;
2)新建IP安全规则:
3)新建IP安全筛选器列表:
AllowPCPingWebFilterList;
4)新建IP筛选器“AllowPCPingWeb”,其属性为;
源IP
目标IP
协议
镜像
我的
PC
ICMP
是
5)新建筛选器操作:
Ø
安全措施:
协商安全;
安全和加密选项:
仅完整性;
名称:
AllowPCPingWebWithAH;
6)身份验证方法:
预共享密钥(HeNanXinHua);
7)隧道设置:
无;
8)连接类型:
所有网络连接;
(3)至此,Web端的自定义的IP安全策略设置完毕,“指派”使其生效即可。
测试自定义的IP安全策略
(1)ping测试:
在第一次Ping过程中,会出现如下图所示的协商过程和通信过程。
若只有协商过程,则说明IP安全策略定义有不一致的地方,检查并重新配置。
注意:
若PC端打开了XPSP2自带的防火墙,Ping不能成功。
图3-16Ping测试AH的传输模式
(2)网络监视器:
如图3-17所示,用网络监视器捕获并察看数据传输过程。
可以清晰地看到:
●对等体在使用IPsec的AH传输模式保护通信传输之前,进行了“十次”协商;
●IPsec通过添加“ESP”报头保护了IP的上层协议——ICMP;
IPsec不是使用是AH协议来“仅保持完整性”的吗?
怎么会是ESP呢?
在图3-11的“仅保持完整性”选项的背后,隐藏的实质是用ESP协议的SHA-1算法来保持完整性的。
若要使用AH协议的完整性保护,可在图3-11的自定义选项内选配。
那么问题是:
AH协议的完整性保护和ESP协议的完整性保护,在安全上有什么区别呢?
●“仅保持完整性”模式没有加密IP的上层数据——明文传输;
图3-17网络监视器捕获的IPsec数据包解析
(3)IP安全监视器:
如图3-18所示,打开控制台根节点下的IP安全监视器,可以看到整个IP安全策略的配置信息和传输细节的统计。
因此,依据IP安全监视器进行IPsec通信的排错,是个不错的选择。
图3-18IP安全监视器的统计信息
方案一的进一步练习:
目的在于熟练掌握IP安全策略的使用
分别在PC和Web上自定义以下IP安全策略:
(1)AllowPCPingWebWithESP(在原来基础上,只需改“筛选器操作”、“安全措施”中的“仅保持完整性”为“加密并保持完整性”即可);
每次IPsec策略改变之后,在测试时最好用网络监视器来捕获通信过程,以从根本上验证IPsec策略并对比分析IPsec协议的细节。
此乃学习网络的最佳之路。
(2)AllowPCAccessWeb80WithAH(在原来基础上,只需改动“筛选器”的“协议”选项即可);
●PC端,IP筛选器“AllowAccessWeb80Filter”;
源端口
目标端口
Web
TCP
任意
80
●Web端IP筛选器:
IP安全策略定义完成后,要用IE和网络监视器来验证
(3)AllowPCAccessWeb80WithAH&
ESP(在2基础上,只需改动“筛选器操作”中的“安全措施”即可);
(4)AllowPCAccessWeb80andPingWebWithAH&
ESP(在原来基础上,只需添加“筛选器”的“协议”选项);
方案二:
使用基于“KerberosV5”认证的IPsec的传输模式
基于“预共享密钥”认证方式的IPsec安全性最差,但却拥有最广泛的兼容性;
当前在Window企业环境下,活动目录已成为一种基本的部署,在没有公钥基础设施的企业环境中,基于KerberosV5认证方案IPsec已成为最佳选择。
●CA:
在CA的“ActiveDirectory用户和计算机”中,创建用于试验客户端PC的域管理员(DomainAdmini)帐户和成员服务器Web的域管理员帐户;
●PC:
使本机加入域环境,用相应的域管理员帐户登录;
检查此用户是否有配置本机的“IP安全策略管理”的权限,若没有重启系统并检查域帐户权限;
●Web:
使本机加入域环境,用相应的域用户登录;
说明:
两个测试系统(Web和PC)必须是同一(或受信任)域的成员。
参照试验一的步骤,分别在PC和Web上创建相应的IP安全策略,例如:
保护PC对Web服务器TCP80端口的访问;
仅把身份验证方法设置为默认的Kerveros即可;
以前自定义的IP安全策略,最好全部删除;
●PC端:
新建IP安全策略名称:
AllowAccesswebPolicy;
新建IP安全规则:
AllowAccessWeb;
新建IP安全筛选器列表:
AllowAccessWebFilterList;
新建IP筛选器“AllowAccessWeb80Filter”:
新建筛选器操作:
✓安全措施:
✓安全和加密选项:
加密并保持完整性;
✓名称:
AllowAccessWebWithESP;
身份验证方法:
默认Kerberos;
隧道设置:
连接类型:
LAN;
●Web端:
AllowPCAccesswebPolicy;
AllowPCAccessWeb;
AllowPCAccessWebFilterList;
新建IP筛选器“AllowPCAccessWeb80”:
AllowPCAccessWebWithESP;
方案三:
使用基于“证书”的IPsec的传输模式
由于活动目录的协议复杂且需要开放很多的端口,因此IPsec并不适合保护域成员及其与控制器之间的通信安全;
在部署有公钥基础设施的企业环境中,基于“证书”或“智能卡”认证是最安全的认证方案,基于证书的IPsec应用也就是最安全传输保护方案。
(部分借助方案二的试验环境,只需额外添加证书的自动颁发即可)
启用IPsec证书模板:
在CA的“证书颁发机构”中右击“证书模板”选择“新建”“要颁发的证书模板”选择“IPsec”,单击确定,如图3-19所示;
图3-19启用IPsec证书模板
设置CA来自动注册IPsec证书,请执行下列步骤:
1)在域控制器上,编辑“默认组策略”;
2)在控制台树中,依序打开计算机配置、Windows设置、安全设置、公钥策略及自动证书请求设置;
3)右击“自动证书请求设置”,指向“新建”,再单击“自动证书请求”,在“欢迎使用自动证书请求设置向导”页面上,单击“下一步”,在“证书模板”对话框中,选中“IPsec”,如下图所示;
图3-20自动证书申请设置
4)单击下一步,在完成自动证书请求设置向导页面上,单击完成。
刷新组策略:
(可借助方案二的试验环境,只需额外添加证书的自动申请即可)
重启或刷新组策略;
通过组策略申请IPsec证书;
察看PC是否已获得IPsec证书,察看方法:
方法一:
控制台根节点→证书→计算机账户→本地计算机,确定;
打开“控制台根节点”下的→证书(本地计算机)→个人→证书下查看是否有计算机证书。
有,说明证书已通过组策略自动分发,如下图所示;
没有,可以在此处单击右键,选择“所有任务”→“申请新证书”,使用“证书申请向导”来完成证书申请;
若还申请不到,说明上面的配置出了问题,请重新配置。
图3-21本地计算机证书控制台
方法二:
在CA的证书颁发机构中,察看已颁发的证书中是否有VPN客户端的用户证书。
按照前面的的试验配置自定义IP安全策略,只把前面例子中的身份方法改为“使用由此证书颁发机构颁发的证书”即可,见下图,并选择自创建的证书颁发机构(CA),确定,并确保“身份验证方法首选顺序”为证书,为避免意外,可以将Kerberos删除。
图3-22设置身份验证方式——证书
察看Web服务器是否已获得IPsec证书,察看方法同上;
在Web服务器上配置与PC相对应的IPsec策略,具体方法同上。
Ping测试与网络监视器捕获,请同学们在试验时要把试验现象记录进试验手册。
◆本试验步骤复杂,可逐步配置,逐步试验;
◆在配置(定制)IPsec策略时,最好不要用“向导”,按照自己事先的规划,以使试验步骤不跳跃太大;
◆本实验的关键在于熟练掌握“IPsec筛选器、保护方式及身份验证方法”的灵活应用,(WindowsIPsec位于系统内核的TCP/IP协议栈之中,因此IPsec筛选器也就成了最好的防火墙——高效、安全);
◆可以使用“IPsec安全监视器”,来检查IPsec策略和验证IPsec通信;
◆本实验逐步尝试IPsec的多种身份认证方法,并对比起灵活性、易用性和安全性;
◆进一步的参考资源:
为隔离组创建IPsec策略。
(
实验六WindowsVPN试验
◆VPN的概念与应用;
◆IPsec的体系结构与应用;
◆企业CA的管理——证书模板的使用与根CA信任;
◆双因子认证——智能卡登陆
◆VPN的特征、隧道技术;
◆证书模板与根CA的自动信任;
◆目前三种通用的VPN解决方案:
PPTPVPN、L2TPVPN、EAP-TLSVPN。
VMwareWorkstation6.0、WindowsServer2003EnterpriseEdition、WindowsServer2003StandardEdition、SnifferPro或NetworkMonitor、WindowsXPProfessional。
图3-23VPN试验拓扑
(4)实验环境准备(部分可借助上一个试验环境):
升级会员 