实验六IPSec和SSL安全协议网络与信息安全实验报告.docx
《实验六IPSec和SSL安全协议网络与信息安全实验报告.docx》由会员分享,可在线阅读,更多相关《实验六IPSec和SSL安全协议网络与信息安全实验报告.docx(15页珍藏版)》请在冰豆网上搜索。
实验六IPSec和SSL安全协议网络与信息安全实验报告
实验六IPSec和SSL安全协议
同组实验者
实验日期
成绩
练习一IPSec协议
实验目的1.了解IPSec主要协议;2.理解IPSec工作原理;环境下能够利用IPSec在两台主机间建立安全隧道
实验人数每组2人
系统环境Windows
网络环境交换网络结构
实验工具网络协议分析器
实验类型验证型
一、实验原理
详见“信息安全实验平台”,“实验12”,“练习一”。
二、实验步骤
本练习主机A、B为一组,C、D为一组,E、F为一组。
首先使用“快照X”恢复Windows系统环境。
下面以主机A、B为例,说明实验步骤。
一、IPsec虚拟专用网络的设置
1.进入IPsec配置界面
(1)主机A、B通过“开始”|“程序”|“管理工具”|“本地安全策略”打开IPSec相关配置界面,如图12-1-1所示。
(2)在默认情况下IPsec的安全策略处于没有启动状态,必须进行指定,IPsec才能发挥作用。
IPsec包含以下3个默认策略,如图1所示。
图1本地安全设置
安全服务器:
对所有IP通讯总是使用Kerberos信任请求安全。
不允许与不被信任的客户端的不安全通讯。
这个策略用于必须采用安全通道进行通信的计算机。
客户端:
正常通信,默认情况下不使用IPSec。
如果通信对方请求IPSec安全通信,则可以建立IPSec虚拟专用隧道。
只有与服务器的请求协议和端口通信是安全的。
服务器:
默认情况下,对所有IP通信总是使用Kerberos信任请求安全。
允许与不响应请求的客户端的不安全通信。
(3)以上策略可以在单台计算机上进行指派,也可以在组策略上批量指派,为了达到通过协商后双方可以通信的目的,通信双方都需要设置同样的策略并加以指派。
2.定制IPSec安全策略
(1)双击“安全服务器(需要安全)”项,进入“安全服务器属性”页,可以看到在“规则”页签中已经存在3个“IP安全规则”,单击“添加”按钮,进入向导添加新安全规则。
(2)在本练习中,我们实现的是两台主机之间的IPSec安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮。
(3)在选择网络类型的界面。
安全规则可以应用到3种网络类型:
所有网络连接、局域网(LAN)和远程访问。
本练习中,我们选择“所有网络连接”,单击“下一步”按钮。
(4)在IP筛选器列表界面。
我们定制自己的筛选操作,单击“添加”按钮,进入“IP筛选器列表”界面,如图2所示。
图2IP筛选器列表
(5)定制自己的IP筛选器。
点击“添加”按钮进入“IP筛选器向导”,单击“下一步”按钮;
(6)在“IP筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的icmp通信”,单击“下一步”按钮;
(7)IP通信源选择“我的IP地址”,单击“下一步”按钮;
(8)IP通信目标选择“一个特定的IP地址”,IP地址填写:
同组主机IP,单击“下一步”按钮;
(9)选择“ICMP”协议类型,单击“下一步”按钮。
单击“完成”按钮,完成定制IP筛选器;
(10)单击“确定”按钮,退出“IP筛选器列表”对话框。
操作界面返回到“安全规则向导”,设置新的IP筛选器:
(1)在“IP筛选器列表”中选中“新IP筛选器列表”,单击“下一步”按钮;
(2)在“筛选器操作”界面单击“添加”按钮新建筛选器操作,在弹出的“筛选器操作向导”界面中,单击“下一步”按钮;
(3)新的筛选器操作名称为“安全的ICMP通信”,描述自定义,单击“下一步”按钮;
(4)在“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;
(5)选中“不与不支持IPSec的计算机通信”,单击“下一步”按钮;
(6)在“IP通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”按钮完成筛选器操作设置。
(7)返回到“安全规则向导”,在“筛选器操作”列表中选中“安全的ICMP通信”,单击“下一步”按钮;
(8)在“身份验证方法”界面。
选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“jlcss”(主机A、主机B的共享密钥必须一致),单击“下一步”按钮,直至最终完成。
二、IPsec虚拟专用网络的检测
(1)主机A不指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
填写ping操作反馈信息:
__________________________________________________。
(2)主机A指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
填写ping操作反馈信息:
__________________________________________________。
(3)主机A不指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
填写ping操作反馈信息:
__________________________________________________。
(4)主机A指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:
ping主机B的IP
填写ping操作反馈信息:
__________________________________________________。
三.协议分析ESP
首先确保主机A、主机B均已指派策略。
(1)主机A、B进入实验平台,单击工具栏“协议分析器”按钮,启动协议分析器。
定义过滤器,设置“网络地址”过滤为“主机A的IP<->主机B的IP”;单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。
在新建捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
(2)主机A在“cmd”控制台中对主机B进行ping操作。
(3)待主机Aping操作完成后,主机A、B协议分析器停止数据包捕获。
切换至“协议解析”视图,观察分析源地址为主机A的IP、目的地址为主机B的IP的数据包信息,如图3所示。
图3概要解析
(4)分析右侧协议树显示区中详细解析及下侧十六进制显示区中的数据,参照图4,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→ESP报头的顺序解析数据,回答下列问题:
图4ESP十六进制数据
ESP协议类型值(十进制)____________________。
安全参数索引(SPI)值是____________________。
序列号是____________________。
ICMP负载是否被加密封装__________。
为什么?
______________________________________________________________________
四.协议分析AH
(1)主机A、B同时进行如下操作,修改“ICMP安全通信策略”,利用AH协议对数据源进行身份验证,而不对传输数据进行加密处理。
(2)在“本地安全设置”界面中,双击“安全服务器(需要安全)”;
(3)在“属性”对话框中,双击“新IP筛选器列表”;
(4)在“编辑规则属性”对话框中,选择“筛选器操作”页签,双击“安全的ICMP通信”;
(5)在“属性”对话框中,选择“安全措施”页签,在“安全措施首选顺序”中,双击唯一的一条规则;
(6)在“编辑安全措施”对话框中,选中“自定义”,单击“设置”按钮,具体操作如图5所示。
图5自定义安全措施设置
单击“确定”按钮,直至最后。
(7)主机A、B再次启动协议分析器,过滤规则不变,开始捕获数据包。
(8)主机A对主机B进行ping操作,待操作完成,协议分析器停止捕获数据包。
切换至“协议解析视图”,观察十六过制显示区数据,参照图6,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→AH报头的顺序解析数据,回答下列问题:
图6AH十六进制数据
AH协议类型值(十进制)____________________。
下一个报头所标识的协议类型是____________________。
载荷长度值是____________________。
由该值计算出AH报头总长度是____________________,具体计算方法________________________________________。
安全参数索引值是____________________。
ICMP负载是否被加密封装__________。
为什么?
______________________________________________________________________
练习二SSL安全套接层协议
实验目的1.掌握使用OpenSSL生成数字证书的方法;2.掌握在Linux平台下使用Apache+OpenSSL组合实现网络安全通信;3.了解SSL的握手过程
实验人数每组2人
系统环境Linux
网络环境企业网络结构
实验工具ssldump
实验类型验证型
一、实验原理
详见“信息安全实验平台”,“实验12”,“练习二”。
二、实验步骤
本练习主机A、B为一组,C、D为一组,E、F为一组。
下面以主机A、B为例,说明实验步骤。
首先使用“快照X”恢复Linux系统环境。
一.实验概述
(1)使用Apache+OpenSSL组合实现网站安全通信,实现客户与服务器安全通信;
(2)配置ssldump,通过旁路监听采集客户与服务器通信信息;
(3)分析ssldump采集信息,理解ssl协议工作过程。
二.使用Apache+OpenSSL组合实现网站安全通信
1.利用OpenSSL为客户生成证书的基本流程可描述如下。
(1)利用OpenSSL为CA创建一个RSA私钥;
(2)利用CA的RSA私钥创建一个自签名的CA根证书;
(3)生成服务器/客户端证书请求;
(4)CA签发服务器/客户端证书;
(5)将服务器/客户端证书及客户私钥包成pfx文件格式。
2.利用OpenSSL为CA创建一个RSA私钥。
(1)主机A/B单击工具栏“控制台”按钮,进入工作目录。
(2)输入命令“openssl”启动并进入OpenSSL控制台,此时的控制台命令提示符为“OpenSSL>”,在OpenSSL控制台中输入命令:
其中genrsa是OpenSSL的标准命令,用于生成RSA私钥;选项des3指明了用tripleDES对私钥进行加密;选项passout在此命令中就是CA口令;选项out是文件输出路径;最后生成的私钥大小为1024位;命令选项config指明了OpenSSL所使用的配置文件。
(3)CA私钥生成完毕后,输入“exit”退出OpenSSL控制台,用ls命令浏览当前目录,文件就是OpenSSL为CA生成的私钥文件。
3.创建自签名CA根证书
(1)主机A/B利用CA的RSA私钥创建一个自签名的CA根证书,在OpenSSL控制台中输入命令:
(2)其中req是OpenSSL的标准命令,用于PKCS#10证书请求与生成;选项new生成新的证书请求;选项x509说明生成的新证书为格式;选项days指明了授权新证书的时间,以天数为单位;选项key指明了CA私钥所在;选项out指明了输出文件(在此条命令中为CA证书)的输出路径;选项passin为CA口令,要与步骤2中的CA口令一致;
(3)运行上面的命令后,接下来会要求输入一系列的证书请求信息(可根据实际情况输入),这些信息将会与证书整合到一起,它们是:
●CountryName(国家),输入CN。
●StateorProvinceName(省),输入JiLin。
●LocalityName(城市),输入ChangChun。
●OrganizationName(组织/公司),输入JLCSS。
●OrganizationalUnitName(部门),输入Develop。
●CommonName(通用名),输入。
●EmailAddress(邮箱),输入。
(4)信息输入完成后,离开OpenSSL控制台,用ls命令浏览当前目录,文件就是CA自签名的根证书。
4.生成服务器证书请求
(1)主机A/B生成各自的服务器证书请求。
(2)在OpenSSL控制台中输入命令:
其中选项newkey指明生成私钥和证书请求;参数rsa:
1024表明生成一个1024位大小的RSA私钥。
(3)运行上面的命令后,接下来会仍然要求输入一系列的证书请求信息,根据自己的实际情况将信息输入完成,其中“Achallengepassword”和“Anoptionalcompanyname”信息可以不必输入,键入回车键完成。
(4)最终会生成两个新文件,一个是证书为服务器创建的私钥文件;另一个是服务器证书请求文件。
5.CA签发服务器证书
(1)主机A/B为各自的服务器证书请求签名授权。
(2)在OpenSSL控制台中输入命令:
其中ca是OpenSSL的标准命令,主要是对CA进行管理;选项in用于指定要被CA签名的证书请求;选项passin在这里指明CA口令;选项batch指定证书签发工作在batch模式,在该模式下将不会出现询问信息,而是被自动校验;选项keyfile是用于签名请求的私钥;选项cert是CA的证书文件。
(3)上面命令执行完毕后,OpenSSL控制台会出现图1所示提示信息,并会生成经过CA签发的服务器证书文件。
图1签名成功提示信息
6.将服务器证书和私钥打包成pfx文件格式
(1)主机A/B将由CA签发得到的服务器证书和服务器私钥打包成pfx文件格式。
(2)在OpenSSL控制台中输入命令:
其中pkcs12是OpenSSL的标准命令,用于pkcs#12数据管理;选项in指明了证书文件;选项inkey指明了私钥文件;选项passout是pksc#12所需要口令,这里是serverpkcs12。
(3)上面命令执行完毕后,会生成pfx格式文件。
7.CA签发客户端证书
本步骤由学生自已完成(主机A与主机B同时进行),略过此步骤后续实验将无法进行。
(1)根据步骤4的操作生成客户端请求,要求生成客户端私钥文件和客户端证书请求文件,将OpenSSL命令填在下面。
OpenSSL命令:
____________________________________________________________。
(2)根据步骤5的操作完成CA对客户端证书的签发,要求生成客户端证书,将OpenSSL命令填在下面。
OpenSSL命令:
____________________________________________________________。
(3)根据步骤6的操作完成将客户私钥与证书打包为pfx格式文件,要求生成客户pfx文件文件,将OpenSSL命令填在下面。
OpenSSL命令:
____________________________________________________________。
8.配置并重启服务器ssl服务
(1)主机A/B在控制台中输入如下命令打开ssl服务配置文件:
vim/etc/httpd/
(2)编辑,修改部分内容如下:
第112行,指定服务器证书位置:
SSLCertificateFile/opt/ExpNIS/HostSec-Lab/Tools/pki/
第119行,指定服务器证书key位置:
SSLCertificateKeyFile/opt/ExpNIS/HostSec-Lab/Tools/pki/
第134行,去掉“#”,指定根证书位置:
SSLCACertificateFile/opt/ExpNIS/HostSec-Lab/Tools/pki/
第141行,去掉“#”,要求对客户端进行验证:
SSLVerifyClientrequire
第142行,去掉“#”,设定验证深度:
SSLVerifyDepth10
(3)修改完成后,保存文件退出。
9.重新启动ssl服务及http服务
(1)退出网络信息安全实验平台,在控制台中输入命令reboot,重新启动系统。
(2)当系统重启运行至图2所示的画面时,要求输入服务器私钥文件密码,键入自己设定的服务器私钥文件密码,这里是“jlcsspkiser”,输入完成继续登录。
图2
10.主机A/B将客户端证书提交给主机B/A
(1)默认情况下Linux系统的FTP服务已被启动。
(2)主机A进入控制台,输入如下命令远程登录主机B的FTP服务。
同样,主机B通过命令“ftp主机A的IP”登录主机A的FTP服务。
图3ftp用户远程登录
(3)如图3所示,ftp用户名为“guest”,密码“guestpass”;通过ftp命令:
将主机A/B的本地文件(客户端证书),上传至主机B/A的/home/guest目录中,文件名称不变。
输入ftp命令“bye”退出ftp登录。
通告同组主机证书密码。
11.主机B/A导入客户端证书
(1)主机B/A打开Web浏览器(MozillaFirefox),选择“编辑”|“首选项”|“高级”|“安全”|“查看证书”,在“您的证书”选项卡中单击“导入”按钮来安装客户端证书。
客户端证书所在目录/home/guest/。
(2)在“修改主密码”及“对证书进行加密备份”的对话框中输入对方的文件密码。
若出现提示信息“已成功恢复您的安全证书和私钥”,则说明客户端证书被成功导入。
12.考上述步骤将CA证书导入Firefox浏览器“证书机构”。
三.使用ssldump工具分析SSL会话过程
1.运行ssldump工具
(1)在服务器端进入实验平台,单击工具栏“控制台”按钮进入工作目录,输入如下命令:
通过上述命令ssldump将会嗅探客户端与服务器间的SSL会话信息,并将嗅探结果输出至指定文件中。
2.客户端通过https方式访问服务器
(1)客户端打开浏览器在地址栏中输入“,点击“确认”直到显示服务器上的页面。
(3)服务器端按“Ctrl+C”结束ssldump。
在指定文件名的文件中查看运行ssldump的终端的输出信息。
参考实验原理,按时间序列完成客户端与服务器在SSL会话握手阶段的消息发送序列,并填写下表。
消息
方向
内容
clienthello
C>S
客户端SSL版本号
S>C
随机值序列__________位
会话ID__________位
服务器向客户端出示证书
S>C
服务器是否请求密钥交换__________
ServerHelloDone
S>C
客服双方握手过程中的hello消息交换阶段完成,服务器等待客户的响应
Certificate
C>S
解释消息:
____________________
C>S
客户端是否请求密钥交换__________
C>S
客户端请服务器验证客户证书的正确性
ChangeCipherSpec
C>S
C>S
客户端应用新协商的算法和密钥
握手过程完成,客户端与服务器开始传送应用层数据
升级会员 