实验六IPSec和SSL安全协议网络与信息安全实验报告

试验六 IPSec 和 SSL 安全协议
同组试验者
练习一 试验目的
试验人数系统环境网络环境试验工具试验类型
实 验 日 期
成 绩
IPSec 协议
1. 了解 IPSec 主要协议；
2.理解 IPSec 工作原理；环境下能够利用 IPSec 在两
台主机间建立安全隧道 每组 2 人Windows 交换网络构造 网络协议分析器验证型
一、试验原理
详见“信息安全试验平台”，“试验 12”，“练习一”。

二、试验步骤
本练习主机A 、B 为一组，C 、D 为一组，E 、F 为一组。

首先使用“快照 X”恢复 Windows 系统环境。

下面以主机A 、B 为例，说明试验步骤。

一、IPsec 虚拟专用网络的设置
1. 进入IPsec 配置界面
（1） 主机 A 、B 通过“开头”｜“程序”｜“治理工具”｜“本地安全策略”翻开
IPSec 相关配置界面，如图 12-1-1 所示。

（2） 在默认状况下IPsec 的安全策略处于没有启动状态，必需进展指定，IPsec 才能发
挥作用。

IPsec 包含以下 3 个默认策略，如图 1 所示。

图 1 本地安全设置
安全效劳器：对全部IP 通讯总是使用Kerberos 信任恳求安全。

不允许与不被信任的客户端的担忧全通讯。

这个策略用于必需承受安全通道进展通信的计算机。

客户端：正常通信，默认状况下不使用IPSec 。

假设通信对方恳求IPSec 安全通信，则可以建立IPSec 虚拟专用隧道。

只有与效劳器的恳求协议和端口通信是安全的。

效劳器：默认状况下，对全部IP 通信总是使用Kerberos 信任恳求安全。

允许与不响应
恳求的客户端的担忧全通信。

（3）以上策略可以在单台计算机上进展指派，也可以在组策略上批量指派，为了到达
通过协商后双方可以通信的目的，通信双方都需要设置同样的策略并加以指派。

2.定制IPSec 安全策略
（1）双击“安全效劳器(需要安全)”项，进入“安全效劳器属性”页，可以看到在“规则”页签中已经存在3 个“IP 安全规章”，单击“添加”按钮，进入向导添加安全规章。

（2）在本练习中，我们实现的是两台主机之间的IPSec 安全隧道，而不是两个网络之
间的安全通信，因此，我们选择“此规章不指定隧道”，即选用传输模式IPSec，选中后单
击“下一步”按钮。

（3）在选择网络类型的界面。

安全规章可以应用到3 种网络类型：全部网络连接、局
域网(LAN)和远程访问。

本练习中，我们选择“全部网络连接”，单击“下一步”按钮。

（4）在IP筛选器列表界面。

我们定制自己的筛选操作，单击“添加”按钮，进入“IP
筛选器列表”界面，如图2 所示。

图2 IP 筛选器列表
（5）定制自己的IP 筛选器。

点击“添加”按钮进入“IP 筛选器向导”，单击“下一
步”按钮；
（6）在“IP 筛选器描述和镜像属性”的“描述”中，可自由添加对增筛选器的解释信息，在这里输入“与同组主机进展安全的icmp 通信”，单击“下一步”按钮；
（7）IP 通信源选择“我的IP 地址”，单击“下一步”按钮；
（8）IP 通信目标选择“一个特定的IP 地址”，IP 地址填写：同组主机IP，单击“下
一步”按钮；
（9）选择“ICMP”协议类型，单击“下一步”按钮。

单击“完成”按钮，完成定制
IP 筛选器；
（10）单击“确定”按钮，退出“IP 筛选器列表”对话框。

操作界面返回到“安全规章向导”，设置的IP 筛选器：
（1）在“IP 筛选器列表”中选中“ IP 筛选器列表”，单击“下一步”按钮；
- 好好学习，每天向上
（2）在“筛选器操作”界面单击“添加”按钮建筛选器操作，在弹出的“筛选器操作
向导”界面中，单击“下一步”按钮；
（3）的筛选器操作名称为“安全的ICMP 通信”，描述自定义，单击“下一步”按钮；
（4）在“筛选器操作常规选项”中选中“协商安全”，单击“下一步”按钮；
（5）选中“不与不支持IPSec 的计算机通信”，单击“下一步”按钮；
（6）在“IP 通信安全措施”中，选择“完整性和加密”，单击“下一步”按钮；最终
单击“完成”按钮完成筛选器操作设置。

（7）返回到“安全规章向导”，在“筛选器操作”列表中选中“安全的ICMP 通信”，单击“下一步”按钮；
（8）在“身份验证方法”界面。

选中“使用此字符串保护密钥交换(预共享密钥)”，填写共享密钥“jlcss”(主机A、主机B 的共享密钥必需全都)，单击“下一步”按钮，直至最终完成。

二、IPsec 虚拟专用网络的检测
（1）主机A 不指派策略，主机B 不指派策略。

主机A 在“cmd”掌握台中，输入如下命令：ping 主机B 的IP
填写ping 操作反响信息：。

（2）主机A 指派策略，主机B 不指派策略。

主机A 在“cmd”掌握台中，输入如下命令：ping 主机B 的IP
填写ping 操作反响信息：。

（3）主机A 不指派策略，主机B 指派策略。

主机A 在“cmd”掌握台中，输入如下命令：ping 主机B 的IP
填写ping 操作反响信息：。

（4）主机A 指派策略，主机B 指派策略。

主机A 在“cmd”掌握台中，输入如下命令：ping 主机B 的IP
填写ping 操作反响信息：。

三．协议分析ESP
首先确保主机A、主机B 均已指派策略。

（1）主机A、B 进入试验平台，单击工具栏“协议分析器”按钮，启动协议分析器。

定义过滤器，设置“网络地址”过滤为“主机A 的IP<－>主机B 的IP”；单击“建捕获窗口”按钮，点击“选择过滤器”按钮，确定过滤信息。

在建捕获窗口工具栏中点击“开头捕获数据包”按钮，开头捕获数据包。

（2）主机A 在“cmd”掌握台中对主机B 进展ping 操作。

（3）待主机A ping 操作完成后，主机A、B 协议分析器停顿数据包捕获。

切换至“协议解析”视图，观看分析源地址为主机A 的IP、目的地址为主机B 的IP 的数据包信息，如图3 所示。

图3 概要解析
（4）分析右侧协议树显示区中具体解析及下侧十六进制显示区中的数据，参照图4，依据链路层报头〔默认14 字节〕→网络层报头〔本试验中为20 字节〕→ESP 报头的挨次解析数据，答复以下问题：
图4 ESP 十六进制数据
ESP 协议类型值〔十进制〕。

安全参数索引(SPI)值是。

序列号是。

ICMP 负载是否被加密封装。

为什么？
四．协议分析AH
（1）主机A、B 同时进展如下操作，修改“ICMP 安全通信策略”，利用AH 协议对数据源进展身份验证，而不对传输数据进展加密处理。

（2）在“本地安全设置”界面中，双击“安全效劳器(需要安全)”；
（3）在“属性”对话框中，双击“IP 筛选器列表”；
（4）在“编辑规章属性”对话框中，选择“筛选器操作”页签，双击“安全的ICMP 通信”；
（5）在“属性”对话框中，选择“安全措施”页签，在“安全措施首选挨次”中，双击唯一的一条规章；
（6）在“编辑安全措施”对话框中，选中“自定义”，单击“设置”按钮，具体操作如图5 所示。

图5 自定义安全措施设置
单击“确定”按钮，直至最终。

（7）主机A、B 再次启动协议分析器，过滤规章不变，开头捕获数据包。

（8）主机A 对主机B 进展ping 操作，待操作完成，协议分析器停顿捕获数据包。

切换至“协议解析视图”，观看十六过制显示区数据，参照图6，依据链路层报头〔默认14 字节〕→网络层报头〔本试验中为20 字节〕→AH 报头的挨次解析数据，答复以下问题：
图6 AH 十六进制数据
AH 协议类型值〔十进制〕。

下一个报头所标识的协议类型是。

载荷长度值是。

由该值计算出AH 报头总长度是
，具体计算方法。

安全参数索引值是。

ICMP 负载是否被加密封装。

为什么？
练习二试验目的
试验人数系统环境SSL 安全套接层协议
1.把握使用OpenSSL 生成数字证书的方法；
2.把握在Linux 平台下使用Apache+OpenSSL 组合实现网络安全通信；
3.了解SSL 的握手过程
每组2 人
Linux
网络环境试验工具试验类型企业网络构造ssldump
验证型
一、试验原理
详见“信息安全试验平台”，“试验12”，“练习二”。

二、试验步骤
本练习主机A、B 为一组，C、D 为一组，E、F 为一组。

下面以主机A、B 为例，说明试验步骤。

首先使用“快照X”恢复Linux 系统环境。

一. 试验概述
（1）使用Apache+OpenSSL 组合实现网站安全通信，实现客户与效劳器安全通信；
（2）配置ssldump，通过旁路监听采集客户与效劳器通信信息；
（3）分析ssldump 采集信息，理解ssl 协议工作过程。

二．使用Apache+OpenSSL 组合实现网站安全通信
1．利用OpenSSL 为客户生成证书的根本流程可描述如下。

（1）利用OpenSSL 为CA 创立一个RSA 私钥；
（2）利用CA 的RSA 私钥创立一个自签名的CA 根证书；
（3）生成效劳器/客户端证书恳求；
（4）CA 签发效劳器/客户端证书；
（5）将效劳器/客户端证书及客户私钥包成pfx 文件格式。

2．利用OpenSSL 为CA 创立一个RSA 私钥。

（1）主机A/B 单击工具栏“掌握台”按钮，进入工作名目。

（2）输入命令“openssl”启动并进入OpenSSL 掌握台，此时的掌握台命令提示符为“OpenSSL>”，在OpenSSL 掌握台中输入命令:
其中genrsa 是OpenSSL 的标准命令，用于生成RSA 私钥；选项des3 指明白用triple DES 对私钥进展加密；选项passout 在此命令中就是CA 口令；选项out 是文件输出路径；最终生成的私钥大小为1024 位；命令选项config 指明白OpenSSL 所使用的配置文件。

（3）CA 私钥生成完毕后，输入“exit”退出OpenSSL 掌握台，用ls 命令扫瞄当前名目，文件就是OpenSSL 为CA 生成的私钥文件。

3.创立自签名CA 根证书
（1）主机A/B 利用CA 的RSA 私钥创立一个自签名的CA 根证书，在OpenSSL 掌握台中输入命令：
（2）其中req 是OpenSSL 的标准命令，用于PKCS#10 证书恳求与生成；选项new 生成的证书恳求；选项x509 说明生成的证书为格式；选项days 指明白授权证书的时间，以天数为单位；选项key 指明白CA 私钥所在；选项out 指明白输出文件〔在此条命令中为
CA 证书〕的输出路径；选项passin 为CA 口令，要与步骤2 中的CA 口令全都；
（3）运行上面的命令后，接下来会要求输入一系列的证书恳求信息〔可依据实际状况输入〕，这些信息将会与证书整合到一起，它们是：
●Country Name 〔国家〕，输入CN。

●State or Province Name〔省〕，输入JiLin。

●Locality Name〔城市〕，输入ChangChun。

●Organization Name(组织／公司)，输入JLCSS。

●Organizational Unit Name〔部门〕，输入Develop。

●Common Name〔通用名〕，输入。

●Email Address〔邮箱〕，输入。

（4）信息输入完成后，离开OpenSSL 掌握台，用ls 命令扫瞄当前名目，文件就是CA 自签名的根证书。

4.生成效劳器证书恳求
（1）主机A/B 生成各自的效劳器证书恳求。

（2）在OpenSSL 掌握台中输入命令：
其中选项newkey 指明生成私钥和证书恳求；参数rsa:1024 说明生成一个1024 位大小的RSA 私钥。

（3）运行上面的命令后，接下来会仍旧要求输入一系列的证书恳求信息，依据自己的实际状况将信息输入完成，其中“A challenge password”和“An optional company name”信息可以不必输入，键入回车键完成。

（4）最终会生成两个文件，一个是证书为效劳器创立的私钥文件；另一个是效劳器证书恳求文件。

5.CA 签发效劳器证书
（1）主机A/B 为各自的效劳器证书恳求签名授权。

（2）在OpenSSL 掌握台中输入命令：
其中ca 是OpenSSL 的标准命令，主要是对CA 进展治理；选项in 用于指定要被CA 签名的证书恳求；选项passin 在这里指明CA 口令；选项batch 指定证书签发工作在batch 模式，在该模式下将不会消灭询问信息，而是被自动校验；选项keyfile 是用于签名恳求的私钥；选项cert 是CA 的证书文件。

（3）上面命令执行完毕后，OpenSSL 掌握台会消灭图1 所示提示信息，并会生成经过CA 签发的效劳器证书文件。

图1 签名成功提示信息
6.将效劳器证书和私钥打包成pfx 文件格式
（1）主机A/B 将由CA 签发得到的效劳器证书和效劳器私钥打包成pfx 文件格式。

（2）在OpenSSL 掌握台中输入命令：
其中pkcs12 是OpenSSL 的标准命令，用于pkcs#12 数据治理；选项in 指明白证书文件；
选项inkey 指明白私钥文件；选项passout 是pksc#12 所需要口令，这里是serverpkcs12。

（3）上面命令执行完毕后，会生成pfx 格式文件。

7．CA 签发客户端证书
本步骤由学生自已完成〔主机A 与主机B 同时进展〕，略过此步骤后续试验将无法进行。

（1）依据步骤4 的操作生成客户端恳求，要求生成客户端私钥文件和客户端证书恳求文件，将OpenSSL 命令填在下面。

OpenSSL 命令：。

（2）依据步骤5 的操作完成CA对客户端证书的签发，要求生成客户端证书，将OpenSSL 命令填在下面。

OpenSSL 命令：。

（3）依据步骤6 的操作完成将客户私钥与证书打包为pfx 格式文件，要求生成客户pfx 文件文件，将OpenSSL 命令填在下面。

OpenSSL 命令：。

8.配置并重启效劳器ssl 效劳
（1）主机A/B 在掌握台中输入如下命令翻开ssl 效劳配置文件：vim /etc/ d/
（2）编辑,修改局部内容如下：
第112 行，指定效劳器证书位置:
SSLCertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/
第119 行，指定效劳器证书key 位置:
SSLCertificateKeyFile /opt/ExpNIS/HostSec-Lab/Tools/pki/
第134行，去掉“#”，指定根证书位置:
SSLCACertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/
第141 行，去掉“#”，要求对客户端进展验证: SSLVerifyClient require
第142 行，去掉“#”，设定验证深度: SSLVerifyDepth 10
（3）修改完成后，保存文件退出。

9.重启动ssl 效劳及效劳
（1）退出网络信息安全试验平台，在掌握台中输入命令reboot,重启动系统。

（2）当系统重启运行至图2 所示的画面时，要求输入效劳器私钥文件密码，键入自己设定的效劳器私钥文件密码，这里是“jlcsspkiser”,输入完成连续登录。

图 2
10．主机A/B 将客户端证书提交给主机B/A
（1）默认状况下Linux 系统的FTP 效劳已被启动。

（2）主机A 进入掌握台，输入如下命令远程登录主机B 的FTP 效劳。

同样，主机B 通过命令“ftp 主机A 的IP”登录主机A 的FTP 效劳。

图3 ftp 用户远程登录
（3）如图3 所示，ftp 用户名为“guest”，密码“guestpass”；通过ftp 命令：
将主机A/B 的本地文件(客户端证书)，上传至主机B/A 的/home/guest 名目中，文件名称不变。

输入ftp 命令“bye”退出ftp 登录。

通告同组主机证书密码。

11．主机B/A 导入客户端证书
（1）主机B/A 翻开Web 扫瞄器〔Mozilla Firefox〕，选择“编辑”|“首选项”|“高级”|“安全”|“查看证书”，在“您的证书”选项卡中单击“导入”按钮来安装客户端证书。

客户端证书所在名目/home/guest/。

（2）在“修改主密码”及“对证书进展加密备份”的对话框中输入对方的文件密码。

假设消灭提示信息“已成功恢复您的安全证书和私钥”，则说明客户端证书被成功导入。

12．考上述步骤将CA 证书导入Firefox 扫瞄器“证书机构”。

三.使用ssldump 工具分析SSL 会话过程
1.运行ssldump 工具
〔1〕在效劳器端进入试验平台，单击工具栏“掌握台”按钮进入工作名目，输入如下命令：
通过上述命令ssldump 将会嗅探客户端与效劳器间的SSL 会话信息，并将嗅探结果输出至指定文件中。

2.客户端通过 s 方式访问效劳器
〔1〕客户端翻开扫瞄器在地址栏中输入“，点击“确认”直到显示效劳器上的页面。

〔3〕效劳器端按“Ctrl+C”完毕ssldump。

在指定文件名的文件中查看运行ssldump 的终端的输出信息。

参考试验原理，按时间序列完成客户端与效劳器在SSL 会话握手阶段的消息发送序列，并填写下表。

消息方向内容
client hello C>S 客户端SSL 版本号
S>C 随机值序列位
会话ID 位
效劳器向客户端出示证书
S>C 效劳器是否恳求密钥交换
ServerHelloDone S>C 客服双方握手过程中的hello 消息交换阶
段完成，效劳器等待客户的响应Certificate C>S 解释消息：
C>S 客户端是否恳求密钥交换
C>S 客户端请效劳器验证客户证书的正确性
ChangeCipherSpec C>S
C>S 客户端应用协商的算法和密钥
握手过程完成，客户端与效劳器开头传送应用层数据。