实验六IPSec和SSL安全协议网络与信息安全实验报告.docx

1、实验六IPSec和SSL安全协议网络与信息安全实验报告实验六 IPSec和SSL安全协议同组实验者实验日期成绩练习一 IPSec协议实验目的 1.了解IPSec主要协议；2.理解IPSec工作原理；环境下能够利用IPSec在两台主机间建立安全隧道实验人数 每组2人系统环境 Windows网络环境 交换网络结构实验工具 网络协议分析器实验类型 验证型一、实验原理详见“信息安全实验平台”，“实验12”，“练习一”。二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Windows系统环境。下面以主机A、B为例，说明实验步骤。一、IPsec虚拟专用网络的设置1. 进

2、入IPsec配置界面（1）主机A、B通过“开始”“程序”“管理工具”“本地安全策略”打开IPSec相关配置界面，如图12-1-1所示。（2）在默认情况下IPsec的安全策略处于没有启动状态，必须进行指定，IPsec才能发挥作用。IPsec包含以下3个默认策略，如图1所示。图1 本地安全设置安全服务器：对所有IP通讯总是使用Kerberos信任请求安全。不允许与不被信任的客户端的不安全通讯。这个策略用于必须采用安全通道进行通信的计算机。客户端：正常通信，默认情况下不使用IPSec。如果通信对方请求IPSec安全通信，则可以建立IPSec虚拟专用隧道。只有与服务器的请求协议和端口通信是安全的。服务

3、器：默认情况下，对所有IP通信总是使用Kerberos信任请求安全。允许与不响应请求的客户端的不安全通信。（3）以上策略可以在单台计算机上进行指派，也可以在组策略上批量指派，为了达到通过协商后双方可以通信的目的，通信双方都需要设置同样的策略并加以指派。2. 定制IPSec安全策略（1）双击“安全服务器(需要安全)”项，进入“安全服务器属性”页，可以看到在“规则”页签中已经存在3个“IP安全规则”，单击“添加”按钮，进入向导添加新安全规则。（2）在本练习中，我们实现的是两台主机之间的IPSec安全隧道，而不是两个网络之间的安全通信，因此，我们选择“此规则不指定隧道”，即选用传输模式IPSec，选

4、中后单击“下一步”按钮。（3）在选择网络类型的界面。安全规则可以应用到3种网络类型：所有网络连接、局域网(LAN)和远程访问。本练习中，我们选择“所有网络连接”，单击“下一步”按钮。（4）在IP筛选器列表界面。我们定制自己的筛选操作，单击“添加”按钮，进入“IP筛选器列表”界面，如图2所示。图2 IP筛选器列表（5）定制自己的IP筛选器。点击“添加”按钮进入“IP筛选器向导”，单击“下一步”按钮；（6）在“IP筛选器描述和镜像属性”的“描述”中，可自由添加对新增筛选器的解释信息，在这里输入“与同组主机进行安全的icmp通信”，单击“下一步”按钮；（7）IP通信源选择“我的IP地址”，单击“下一

5、步”按钮；（8）IP通信目标选择“一个特定的IP地址”，IP地址填写：同组主机IP，单击“下一步”按钮；（9）选择“ICMP”协议类型，单击“下一步”按钮。单击“完成”按钮，完成定制IP筛选器；（10）单击“确定”按钮，退出“IP筛选器列表”对话框。操作界面返回到“安全规则向导”，设置新的IP筛选器：（1）在“IP筛选器列表”中选中“新 IP筛选器列表”，单击“下一步”按钮；（2）在“筛选器操作”界面单击“添加”按钮新建筛选器操作，在弹出的“筛选器操作向导”界面中，单击“下一步”按钮；（3）新的筛选器操作名称为“安全的ICMP通信”，描述自定义，单击“下一步”按钮；（4）在“筛选器操作常规选项

6、”中选中“协商安全”，单击“下一步”按钮；（5）选中“不与不支持IPSec的计算机通信”，单击“下一步”按钮；（6）在“IP通信安全措施”中，选择“完整性和加密”，单击“下一步”按钮；最后单击“完成”按钮完成筛选器操作设置。（7）返回到“安全规则向导”，在“筛选器操作”列表中选中“安全的ICMP通信”，单击“下一步”按钮；（8）在“身份验证方法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”，填写共享密钥“jlcss”(主机A、主机B的共享密钥必须一致)，单击“下一步”按钮，直至最终完成。二、IPsec虚拟专用网络的检测（1）主机A不指派策略，主机B不指派策略。主机A在“cmd”控制台中

7、，输入如下命令：ping 主机B的IP填写ping操作反馈信息：_。（2）主机A指派策略，主机B不指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：_。（3）主机A不指派策略，主机B指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：_。（4）主机A指派策略，主机B指派策略。主机A在“cmd”控制台中，输入如下命令：ping 主机B的IP填写ping操作反馈信息：_。三协议分析ESP首先确保主机A、主机B均已指派策略。（1）主机A、B进入实验平台，单击工具栏“协议分析器”按钮，启动协议分析器。定义

8、过滤器，设置“网络地址”过滤为“主机A的IP主机B的IP”；单击“新建捕获窗口”按钮，点击“选择过滤器”按钮，确定过滤信息。在新建捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。（2）主机A在“cmd”控制台中对主机B进行ping操作。（3）待主机A ping操作完成后，主机A、B协议分析器停止数据包捕获。切换至“协议解析”视图，观察分析源地址为主机A的IP、目的地址为主机B的IP的数据包信息，如图3所示。图3 概要解析（4）分析右侧协议树显示区中详细解析及下侧十六进制显示区中的数据，参照图4，按照链路层报头（默认14字节）网络层报头（本实验中为20字节）ESP报头的顺序解析数据，

9、回答下列问题：图4 ESP十六进制数据ESP协议类型值（十进制）_。安全参数索引(SPI)值是_。序列号是_。ICMP负载是否被加密封装_。为什么？_四协议分析AH（1）主机A、B同时进行如下操作，修改“ICMP安全通信策略”，利用AH协议对数据源进行身份验证，而不对传输数据进行加密处理。（2）在“本地安全设置”界面中，双击“安全服务器(需要安全)”；（3）在“属性”对话框中，双击“新IP 筛选器列表”；（4）在“编辑规则 属性”对话框中，选择“筛选器操作”页签，双击“安全的ICMP通信”；（5）在“属性”对话框中，选择“安全措施”页签，在“安全措施首选顺序”中，双击唯一的一条规则；（6）在“

10、编辑安全措施”对话框中，选中“自定义”，单击“设置”按钮，具体操作如图5所示。图5 自定义安全措施设置单击“确定”按钮，直至最后。（7）主机A、B再次启动协议分析器，过滤规则不变，开始捕获数据包。（8）主机A对主机B进行ping操作，待操作完成，协议分析器停止捕获数据包。切换至“协议解析视图”，观察十六过制显示区数据，参照图6，按照链路层报头（默认14字节）网络层报头（本实验中为20字节）AH报头的顺序解析数据，回答下列问题：图6 AH十六进制数据AH协议类型值（十进制）_。下一个报头所标识的协议类型是_。载荷长度值是_。由该值计算出AH报头总长度是_，具体计算方法_。安全参数索引值是_。IC

11、MP负载是否被加密封装_。为什么？_练习二 SSL安全套接层协议实验目的 1.掌握使用OpenSSL生成数字证书的方法；2.掌握在Linux平台下使用Apache+OpenSSL组合实现网络安全通信；3.了解SSL的握手过程实验人数 每组2人系统环境 Linux网络环境 企业网络结构实验工具 ssldump实验类型 验证型一、实验原理详见“信息安全实验平台”，“实验12”，“练习二”。二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Linux系统环境。一. 实验概述（1）使用Apache+OpenSSL组合实现网站安全通

12、信，实现客户与服务器安全通信；（2）配置ssldump，通过旁路监听采集客户与服务器通信信息；（3）分析ssldump采集信息，理解ssl协议工作过程。二使用Apache+OpenSSL组合实现网站安全通信1利用OpenSSL为客户生成证书的基本流程可描述如下。（1）利用OpenSSL为CA创建一个RSA私钥；（2）利用CA的RSA私钥创建一个自签名的CA根证书；（3）生成服务器/客户端证书请求；（4）CA签发服务器/客户端证书；（5）将服务器/客户端证书及客户私钥包成pfx文件格式。2利用OpenSSL为CA创建一个RSA私钥。（1）主机A/B单击工具栏“控制台”按钮，进入工作目录。（2）输

13、入命令“openssl”启动并进入OpenSSL控制台，此时的控制台命令提示符为“OpenSSL”，在OpenSSL控制台中输入命令:其中genrsa是OpenSSL的标准命令，用于生成RSA私钥；选项des3指明了用triple DES对私钥进行加密；选项passout在此命令中就是CA口令；选项out是文件输出路径；最后生成的私钥大小为1024位；命令选项config指明了OpenSSL所使用的配置文件。（3）CA私钥生成完毕后，输入“exit”退出OpenSSL控制台，用ls命令浏览当前目录，文件就是OpenSSL为CA生成的私钥文件。3创建自签名CA根证书（1）主机A/B利用CA的RS

14、A私钥创建一个自签名的CA根证书，在OpenSSL控制台中输入命令：（2）其中req是OpenSSL的标准命令，用于PKCS#10证书请求与生成；选项new生成新的证书请求；选项x509说明生成的新证书为格式；选项days指明了授权新证书的时间，以天数为单位；选项key指明了CA私钥所在；选项out指明了输出文件（在此条命令中为CA证书）的输出路径；选项passin为CA口令，要与步骤2中的CA口令一致；（3）运行上面的命令后，接下来会要求输入一系列的证书请求信息（可根据实际情况输入），这些信息将会与证书整合到一起，它们是：Country Name （国家），输入CN。State or Pro

15、vince Name（省），输入JiLin。Locality Name（城市），输入ChangChun。Organization Name(组织公司)，输入JLCSS。Organizational Unit Name（部门），输入Develop。Common Name（通用名），输入。Email Address（邮箱），输入。（4）信息输入完成后，离开OpenSSL控制台，用ls命令浏览当前目录，文件就是CA自签名的根证书。4生成服务器证书请求（1）主机A/B生成各自的服务器证书请求。（2）在OpenSSL控制台中输入命令：其中选项newkey指明生成私钥和证书请求；参数rsa:1024表明生

16、成一个1024位大小的RSA私钥。（3）运行上面的命令后，接下来会仍然要求输入一系列的证书请求信息，根据自己的实际情况将信息输入完成，其中“A challenge password”和“An optional company name”信息可以不必输入，键入回车键完成。（4）最终会生成两个新文件，一个是证书为服务器创建的私钥文件；另一个是服务器证书请求文件。5CA签发服务器证书（1）主机A/B为各自的服务器证书请求签名授权。（2）在OpenSSL控制台中输入命令：其中ca是OpenSSL的标准命令，主要是对CA进行管理；选项in用于指定要被CA签名的证书请求；选项passin在这里指明CA口令

17、；选项batch指定证书签发工作在batch模式，在该模式下将不会出现询问信息，而是被自动校验；选项keyfile是用于签名请求的私钥；选项cert是CA的证书文件。（3）上面命令执行完毕后，OpenSSL控制台会出现图1所示提示信息，并会生成经过CA签发的服务器证书文件。图1 签名成功提示信息6将服务器证书和私钥打包成pfx文件格式（1）主机A/B将由CA签发得到的服务器证书和服务器私钥打包成pfx文件格式。（2）在OpenSSL控制台中输入命令：其中pkcs12是OpenSSL的标准命令，用于pkcs#12数据管理；选项in指明了证书文件；选项inkey指明了私钥文件；选项passout是

18、pksc#12所需要口令，这里是serverpkcs12。（3）上面命令执行完毕后，会生成pfx格式文件。7CA签发客户端证书本步骤由学生自已完成（主机A与主机B同时进行），略过此步骤后续实验将无法进行。（1）根据步骤4的操作生成客户端请求，要求生成客户端私钥文件和客户端证书请求文件，将OpenSSL命令填在下面。OpenSSL命令：_。（2）根据步骤5的操作完成CA对客户端证书的签发，要求生成客户端证书，将OpenSSL命令填在下面。OpenSSL命令：_。（3）根据步骤6的操作完成将客户私钥与证书打包为pfx格式文件，要求生成客户pfx文件文件，将OpenSSL命令填在下面。OpenSSL

19、命令：_。8配置并重启服务器ssl服务（1）主机A/B在控制台中输入如下命令打开ssl服务配置文件：vim /etc/httpd/（2）编辑,修改部分内容如下：第112行，指定服务器证书位置:SSLCertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/第119行，指定服务器证书key位置:SSLCertificateKeyFile /opt/ExpNIS/HostSec-Lab/Tools/pki/第134行，去掉“#”，指定根证书位置:SSLCACertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/第

20、141行，去掉“#”，要求对客户端进行验证: SSLVerifyClient require第142行，去掉“#”，设定验证深度: SSLVerifyDepth 10（3）修改完成后，保存文件退出。9重新启动ssl服务及http服务（1）退出网络信息安全实验平台，在控制台中输入命令reboot,重新启动系统。（2）当系统重启运行至图2所示的画面时，要求输入服务器私钥文件密码，键入自己设定的服务器私钥文件密码，这里是“jlcsspkiser”,输入完成继续登录。图210主机A/B将客户端证书提交给主机B/A（1）默认情况下Linux系统的FTP服务已被启动。（2）主机A进入控制台，输入如下命令远

21、程登录主机B的FTP服务。同样，主机B通过命令“ftp 主机A的IP”登录主机A的FTP服务。图3 ftp用户远程登录（3）如图3所示，ftp用户名为“guest”，密码“guestpass”；通过ftp命令：将主机A/B的本地文件(客户端证书)，上传至主机B/A的/home/guest目录中，文件名称不变。输入ftp命令“bye”退出ftp登录。通告同组主机证书密码。11主机B/A导入客户端证书（1）主机B/A打开Web浏览器（Mozilla Firefox），选择“编辑”|“首选项”|“高级”|“安全”|“查看证书”，在“您的证书”选项卡中单击“导入”按钮来安装客户端证书。客户端证书所在目

22、录/home/guest/。（2）在“修改主密码”及“对证书进行加密备份”的对话框中输入对方的文件密码。若出现提示信息“已成功恢复您的安全证书和私钥”，则说明客户端证书被成功导入。12考上述步骤将CA证书导入Firefox浏览器“证书机构”。三.使用ssldump工具分析SSL会话过程1运行ssldump工具（1）在服务器端进入实验平台，单击工具栏“控制台”按钮进入工作目录，输入如下命令：通过上述命令ssldump将会嗅探客户端与服务器间的SSL会话信息，并将嗅探结果输出至指定文件中。2客户端通过https方式访问服务器（1）客户端打开浏览器在地址栏中输入“，点击“确认”直到显示服务器上的页面

23、。（3）服务器端按“Ctrl+C”结束ssldump。在指定文件名的文件中查看运行ssldump的终端的输出信息。参考实验原理，按时间序列完成客户端与服务器在SSL会话握手阶段的消息发送序列，并填写下表。消息方向内容client helloCS客户端SSL版本号SC随机值序列_位会话ID_位服务器向客户端出示证书SC服务器是否请求密钥交换_ServerHelloDoneSC客服双方握手过程中的hello消息交换阶段完成，服务器等待客户的响应CertificateCS解释消息：_CS客户端是否请求密钥交换_CS客户端请服务器验证客户证书的正确性ChangeCipherSpecCSCS客户端应用新协商的算法和密钥握手过程完成，客户端与服务器开始传送应用层数据