BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

Khoa An toàn thông tin

GIAO THỨC AN TOÀN MẠNG

TRIỂN KHAI GIAO THỨC IPSEC

1 GVHD: Cô Trần Thị Lượng

Sinh viên thực hiện: Nguyễn Thanh Qúy

MSSV: AT131331
Mô hình

IPSec Server1 IPSec Server2

OS: Ubuntu 18.04 OS: Ubuntu 18.04
IP: 10.2.42.1 IP: 10.2.42.101
Domain name: server1.nguyenthanhquy.class2 Domain name: server2.nguyenthanhquy.class2
(Racoon) (Racoon)

2
Nội dung
1. Thiết lập hệ thống
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
6. Kết luận

3
1. Thiết lập hệ thống
IP của Server1

IP của Server2

Đặt hostname trên server1 và server2

4
 1. Thiết lập hệ thống
Chỉnh sửa file hosts trên server1 và server2
Đặt domain name trên server1 và server2
1. Thiết lập hệ thống

Trên server1 và server2 thực hiện cài đặt

Racoon

6
2. Thiết lâp̣ hê ̣ thống dùng IPSEC Transport
và AH
Vào cấu hình ipsectool trên server1 và server2

Bỏ dấu # ở dòng flush; và spdflush; Thêm policy thực hiện Ipsec Transport và AH

Server1 Server2
2. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và AH
Cấu hình racoon trên server1 và server2
Bỏ dấu # ở các dòng từ remote đến deflate;}

Đổi tên thành: remote anonymous

Đổi tên thành: sainfo anonymous

2. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và AH
Edit file psk.txt trên server1 và server2

Server1 Server2
2. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và AH

Trên server1 và server2 lần

lượt khởi động lại racoon và
setkey

Từ server2 thực hiện lệnh

ping đến server1
2. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và AH
Bắt gói tin ICMP có chứa AH bằng Wireshark
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH

Next header: ICMP(1) : Gói tin

ICMP code bằng 1
Length: 4( 24 bytes): chiều dài của
thông điệp.
AH SPI: giá trị tùy ý mà IPSec lựa
chọn.
AH Sequence: 1 : số tuần tự của
gói tin AH.
AH ICV: dữ liệu được xác thực.
Có độ dài là 96bit, là dãy số băm
từ (IP Header + Payload+ Key)
2. Thiết lâp̣ hê ̣ thống dùng IPSEC Transport và AH

Next header: ICMP(1) : Gói tin

ICMP code bằng 1
Length: 4( 24 bytes): chiều dài của
thông điệp.
AH SPI: giá trị tùy ý mà IPSec lựa
chọn.
AH Sequence: 1 : số tuần tự của
gói tin AH.
AH ICV: dữ liệu được xác thực.
Có độ dài là 96bit, là dãy số băm
từ (IP Header + Payload+ Key)
3. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và ESP
Vào cấu hình ipsectool trên server1 và server2

Bỏ dấu # ở dòng flush; và spdflush; Thêm policy thực hiện Ipsec Transport và ESP

Server1 Server2
3. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và ESP

Trên server1 và server2 lần

lượt khởi động lại racoon và
setkey

Từ server2 thực hiện lệnh

ping đến server1
3. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và ESP
Bắt gói tin ESP bằng Wireshark
3. Thiết lâp̣ hê ̣ thống dùng IPSEC
Transport và ESP

Protocol: Encap
Security Payload (50):
giao thức ESP.
ESP SPI: Gía trị tùy
chọn
ESP Sequence: 1: Số
tuần tự của gói tin ESP
3. Thiết lâp̣ hê ̣ thống dùng IPSEC Transport và
ESP

Protocol: Encap Security Payload (50):

giao thức ESP.
ESP SPI: Gía trị tùy chọn
ESP Sequence: 2: Số tuần tự của gói tin
ESP
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel
và AH
Vào cấu hình ipsectool trên server1 và server2

Server1

Bỏ dấu # ở dòng flush; và spdflush;

Thêm policy thực hiện Ipsec Tunnel

Server2 và AH
4. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel
và AH

Trên server1 và server2 lần

lượt khởi động lại racoon và
setkey

Từ server2 thực hiện lệnh

ping đến server1
4. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel
và AH
Bắt gói tin ICMP có chứa AH bằng Wireshark
4. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel và AH

Next header: IPIP(4) : Gói tin IPIP

code bằng 4 => Chế độ Tunnel
Length: 4( 24 bytes): chiều dài của
thông điệp.
AH SPI: giá trị tùy ý mà IPSec lựa
chọn.
AH Sequence: 6 : số tuần tự của
gói tin AH.
AH ICV: dữ liệu được xác thực.
Có độ dài là 96bit, là dãy số băm
từ (IP Header + Payload+ Key)
4. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel và AH

Next header: IPIP(4) : Gói tin IPIP

code bằng 4 => Chế độ Tunnel
Length: 4( 24 bytes): chiều dài của
thông điệp.
AH SPI: giá trị tùy ý mà IPSec lựa
chọn.
AH Sequence: 6 : số tuần tự của
gói tin AH.
AH ICV: dữ liệu được xác thực.
Có độ dài là 96bit, là dãy số băm
từ (IP Header + Payload+ Key)
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
Vào cấu hình ipsectool trên server1 và server2

Server1 Bỏ dấu # ở dòng flush; và spdflush;

Thêm policy thực hiện Ipsec

Tunnel và ESP

Server2
5. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel
và ESP

Trên server1 và server2 lần

lượt khởi động lại racoon và
setkey

Từ server2 thực hiện lệnh

ping đến server1
5. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel
và ESP
Bắt gói tin ESP bằng Wireshark
5. Thiết lâp̣ hê ̣ thống dùng IPSEC Tunnel và ESP

Protocol: Encap Security Payload

(50): giao thức ESP.
ESP SPI: Gía trị tùy chọn
ESP Sequence: 1 (Gía trị tuần tự của
gói tin ESP)
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP

Protocol: Encap Security Payload

(50): giao thức ESP.
ESP SPI: Gía trị tùy chọn
ESP Sequence: 1 (Gía trị tuần tự
của gói tin ESP)
6. Kết luận
■ Triển khai được giao thức IPSec qua hai giao thức con là AH và ESP trên hệ điều hành
Linux.
■ Triển khai được giao thức AH và ESP ở hai chế độ: Transport và Tunnel.
30