收藏
下载资源

实验六IPSec和SSL安全协议网络与信息安全实验报告

上传人:206****923 文档编号:45911310 上传时间:2018-06-20 格式:PDF 页数:10 大小:221.40KB
返回 下载 相关 举报
实验六IPSec和SSL安全协议网络与信息安全实验报告_第1页
第1页 / 共10页
实验六IPSec和SSL安全协议网络与信息安全实验报告_第2页
第2页 / 共10页
实验六IPSec和SSL安全协议网络与信息安全实验报告_第3页
第3页 / 共10页
实验六IPSec和SSL安全协议网络与信息安全实验报告_第4页
第4页 / 共10页
实验六IPSec和SSL安全协议网络与信息安全实验报告_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《实验六IPSec和SSL安全协议网络与信息安全实验报告》由会员分享,可在线阅读,更多相关《实验六IPSec和SSL安全协议网络与信息安全实验报告(10页珍藏版)》请在金锄头文库上搜索。

1、实验六 IPSec 和 SSL 安全协议 同组实验者 实 验 日 期 成 绩 练习一 IPSec 协议 实验目的 1.了解 IPSec 主要协议;2.理解 IPSec 工作原理;3.Windows 环境下能够利用IPSec 在两台主机间建立安全隧道 实验人数 每组 2 人 系统环境 Windows 网络环境 交换网络结构 实验工具 网络协议分析器 实验类型 验证型 一、实验原理一、实验原理 详见“信息安全实验平台”,“实验 12”,“练习一”。 二、实验步骤二、实验步骤 本练习主机 A、 B 为一组, C、 D 为一组, E、 F 为一组。 首先使用“快照 X”恢复 Windows系统环境。下

2、面以主机 A、B 为例,说明实验步骤。 一、IPsec 虚拟专用网络的设置 1. 进入 IPsec 配置界面 (1)主机 A、B 通过“开始”“程序”“管理工具”“本地安全策略”打开IPSec 相关配置界面,如图 12-1-1 所示。 (2)在默认情况下 IPsec 的安全策略处于没有启动状态,必须进行指定,IPsec 才能发挥作用。IPsec 包含以下 3 个默认策略,如图 1 所示。 图 1 本地安全设置 安全服务器:对所有 IP 通讯总是使用 Kerberos 信任请求安全。不允许与不被信任的客户端的不安全通讯。这个策略用于必须采用安全通道进行通信的计算机。 客户端:正常通信,默认情况下

3、不使用 IPSec。如果通信对方请求 IPSec 安全通信,则可以建立 IPSec 虚拟专用隧道。只有与服务器的请求协议和端口通信是安全的。 服务器:默认情况下,对所有 IP 通信总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通信。 (3)以上策略可以在单台计算机上进行指派,也可以在组策略上批量指派,为了达到通过协商后双方可以通信的目的,通信双方都需要设置同样的策略并加以指派。 2. 定制 IPSec 安全策略 (1) 双击“安全服务器(需要安全)”项, 进入“安全服务器属性”页, 可以看到在“规则”页签中已经存在 3 个“IP 安全规则”,单击“添加”按钮,进入向

4、导添加新安全规则。 (2)在本练习中,我们实现的是两台主机之间的 IPSec 安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式 IPSec,选中后单击“下一步”按钮。 (3)在选择网络类型的界面。安全规则可以应用到 3 种网络类型:所有网络连接、局域网(LAN)和远程访问。本练习中,我们选择“所有网络连接”,单击“下一步”按钮。 (4)在 IP 筛选器列表界面。我们定制自己的筛选操作,单击“添加”按钮,进入“IP筛选器列表”界面,如图 2 所示。 图 2 IP 筛选器列表 (5) 定制自己的 IP 筛选器。 点击“添加”按钮进入“IP 筛选器向导”,

5、单击“下一步”按钮; (6)在“IP 筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的 icmp 通信”,单击“下一步”按钮; (7)IP 通信源选择“我的 IP 地址”,单击“下一步”按钮; (8)IP 通信目标选择“一个特定的 IP 地址”,IP 地址填写:同组主机 IP,单击“下一步”按钮; (9)选择“ICMP”协议类型,单击“下一步”按钮。单击“完成”按钮,完成定制 IP筛选器; (10)单击“确定”按钮,退出“IP 筛选器列表”对话框。 操作界面返回到“安全规则向导”,设置新的 IP 筛选器: (1)在“IP 筛选器列表”中选中

6、“新 IP 筛选器列表”,单击“下一步”按钮; (2)在“筛选器操作”界面单击“添加”按钮新建筛选器操作,在弹出的“筛选器操作向导”界面中,单击“下一步”按钮; (3)新的筛选器操作名称为“安全的 ICMP 通信”,描述自定义,单击“下一步”按钮; (4)在“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮; (5)选中“不与不支持 IPSec 的计算机通信”,单击“下一步”按钮; (6)在“IP 通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”按钮完成筛选器操作设置。 (7)返回到“安全规则向导”,在“筛选器操作”列表中选中“安全的 ICMP 通信”,单

7、击“下一步”按钮; (8)在“身份验证方法”界面。选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“jlcss”(主机 A、主机 B 的共享密钥必须一致),单击“下一步”按钮,直至最终完成。 二、IPsec 虚拟专用网络的检测 (1)主机 A 不指派策略,主机 B 不指派策略。 主机 A 在“cmd”控制台中,输入如下命令:ping 主机 B 的 IP 填写 ping 操作反馈信息:_。 (2)主机 A 指派策略,主机 B 不指派策略。 主机 A 在“cmd”控制台中,输入如下命令:ping 主机 B 的 IP 填写 ping 操作反馈信息:_。 (3)主机 A 不指派策略,主机

8、B 指派策略。 主机 A 在“cmd”控制台中,输入如下命令:ping 主机 B 的 IP 填写 ping 操作反馈信息:_。 (4)主机 A 指派策略,主机 B 指派策略。 主机 A 在“cmd”控制台中,输入如下命令:ping 主机 B 的 IP 填写 ping 操作反馈信息:_。 三协议分析 ESP 首先确保主机 A、主机 B 均已指派策略。 (1)主机 A、B 进入实验平台,单击工具栏“协议分析器”按钮,启动协议分析器。定义过滤器,设置“网络地址”过滤为“主机 A 的 IP主机 B 的 IP”;单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。在新建捕获窗口工具栏中点击“

9、开始捕获数据包”按钮,开始捕获数据包。 (2)主机 A 在“cmd”控制台中对主机 B 进行 ping 操作。 (3)待主机 A ping 操作完成后,主机 A、B 协议分析器停止数据包捕获。切换至“协议解析”视图,观察分析源地址为主机 A 的 IP、目的地址为主机 B 的 IP 的数据包信息,如图 3 所示。 图 3 概要解析 (4)分析右侧协议树显示区中详细解析及下侧十六进制显示区中的数据,参照图 4,按照链路层报头(默认 14 字节)网络层报头(本实验中为 20 字节)ESP 报头的顺序解析数据,回答下列问题: 图 4 ESP 十六进制数据 ESP 协议类型值(十进制)_。 安全参数索引

10、(SPI)值是_。 序列号是_。 ICMP 负载是否被加密封装_。为什么? _ 四协议分析 AH (1)主机 A、B 同时进行如下操作,修改“ICMP 安全通信策略”,利用 AH 协议对数据源进行身份验证,而不对传输数据进行加密处理。 (2)在“本地安全设置”界面中,双击“安全服务器(需要安全)”; (3)在“属性”对话框中,双击“新 IP 筛选器列表”; (4)在“编辑规则 属性”对话框中,选择“筛选器操作”页签,双击“安全的 ICMP通信”; (5)在“属性”对话框中,选择“安全措施”页签,在“安全措施首选顺序”中,双击唯一的一条规则; (6)在“编辑安全措施”对话框中,选中“自定义”,单

11、击“设置”按钮,具体操作如图 5 所示。 图 5 自定义安全措施设置 单击“确定”按钮,直至最后。 (7)主机 A、B 再次启动协议分析器,过滤规则不变,开始捕获数据包。 (8)主机 A 对主机 B 进行 ping 操作,待操作完成,协议分析器停止捕获数据包。切换至“协议解析视图”,观察十六过制显示区数据,参照图 6,按照链路层报头(默认 14字节)网络层报头(本实验中为 20 字节)AH 报头的顺序解析数据,回答下列问题: 图 6 AH 十六进制数据 AH 协议类型值(十进制)_。 下一个报头所标识的协议类型是_。 载 荷 长 度 值 是 _ 。 由 该 值 计 算 出AH报 头 总 长 度

12、 是_,具体计算方法_。 安全参数索引值是_。 ICMP 负载是否被加密封装_。为什么? _ 练习二 SSL 安全套接层协议 实验目的 1.掌握使用 OpenSSL 生成数字证书的方法;2.掌握在 Linux 平台下使用Apache+OpenSSL 组合实现网络安全通信;3.了解 SSL 的握手过程 实验人数 每组 2 人 系统环境 Linux 网络环境 企业网络结构 实验工具 ssldump 实验类型 验证型 一、实验原理一、实验原理 详见“信息安全实验平台”,“实验 12”,“练习二”。 二、实验步骤二、实验步骤 本练习主机 A、B 为一组,C、D 为一组,E、F 为一组。下面以主机 A、

13、B 为例,说明实验步骤。首先使用“快照 X”恢复 Linux 系统环境。 一. 实验概述 (1)使用 Apache+OpenSSL 组合实现网站安全通信,实现客户与服务器安全通信; (2)配置 ssldump,通过旁路监听采集客户与服务器通信信息; (3)分析 ssldump 采集信息,理解 ssl 协议工作过程。 二使用 Apache+OpenSSL 组合实现网站安全通信 1利用 OpenSSL 为客户生成证书的基本流程可描述如下。 (1)利用 OpenSSL 为 CA 创建一个 RSA 私钥; (2)利用 CA 的 RSA 私钥创建一个自签名的 CA 根证书; (3)生成服务器/客户端证书

14、请求; (4)CA 签发服务器/客户端证书; (5)将服务器/客户端证书及客户私钥包成 pfx 文件格式。 2利用 OpenSSL 为 CA 创建一个 RSA 私钥。 (1)主机 A/B 单击工具栏“控制台”按钮,进入工作目录。 (2)输入命令“openssl”启动并进入 OpenSSL 控制台,此时的控制台命令提示符为“OpenSSL”,在 OpenSSL 控制台中输入命令: 其中 genrsa 是 OpenSSL 的标准命令, 用于生成 RSA 私钥; 选项 des3 指明了用 triple DES对私钥进行加密;选项 passout 在此命令中就是 CA 口令;选项 out 是文件输出路径;最后生成的私钥大小为 1024 位;命令选项 config 指明了 OpenSSL 所使用的配置文件。 (3)CA 私钥生成完毕后,输入“exit”退出 OpenSSL 控制台,用 ls 命令浏览当前目录,文件 ca.key 就是 OpenSSL 为 CA 生成的私钥文件。 3创建自签名 CA 根证书 (1)主机 A/B 利用 CA 的 RSA 私钥创建一个自签名的 CA 根证书,在 OpenSSL 控制台中输入命令: (2)其中 req 是 OpenSSL 的标准命令

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号