BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

Khoa an toàn thông tin

GIAO THỨC AN TOÀN MẠNG

TRIỂN KHAI GIAO THỨC IPSEC

Giáo viên: thầy Đặng Sinh viên thực hiện:

Xuân Bảo Phùng Văn Tài
MSV: AT170143
STT: 57
Mô hình mạng

Client Server
OS: Ubuntu 18.04 OS: Ubuntu 18.04
IP: 10.3.57.100 IP: 10.3.57.1
Nội dung

1. Thiết lập hệ thống

2. Thiết lập hệ thống dùng IPSEC Transport và AH

3. Thiết lập hệ thống dùng IPSEC Transport và ESP

4. Thiết lập hệ thống dùng IPSEC Tunnel và AH

5. Thiết lập hệ thống dùng IPSEC Tunnel và ESP

1. Thiết lập hệ thống

IP Server IP Client
1. Thiết lập hệ thống

Kiểm tra kết nối giữa

hai máy
1. Thiết lập hệ thống
Cài đặt Racoon trên Server và Client
 2. Thiết lập hệ thống dùng IPSEC Transport và AH
Cấu hình ipsectool trên server và client

Server Client
2. Thiết lập hệ thống dùng IPSEC Transport và AH
Cấu hình Racoon trên server và client
Chỉnh sửa file raccoon.conf
2. Thiết lập hệ thống dùng IPSEC Transport và AH
Sửa file psk.txt trên Server và Client

Client
Server
2. Thiết lập hệ thống dùng IPSEC Transport và AH
Khởi động lại racon và setkey trên Server và Client

Server Client

Thực hiện Ping từ server đến Client

2. Thiết lập hệ thống dùng IPSEC Transport và AH
Bắt gói tin ICMP có chứa AH bằng Wireshark
 2. Thiết lập hệ thống dùng IPSEC Transport và AH
Bắt gói tin ICMP có chứa AH bằng Wireshark

- Protocol: AH(51)
- Source address: 10.3.57.1
- Destination address:
10.3.57.100
- Next header : gói tin ICMP ->
chế độ Transport(1Byte)
- Length: 4 (1Byte)-> chiều dài
thông điệp
- Reserved: 0000 -> không
được sử dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi
bản ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính
toàn vẹn, xác thực của gói
tin(12Byte)
 2. Thiết lập hệ thống dùng IPSEC Transport và AH
Bắt gói tin ICMP có chứa AH bằng Wireshark
- Protocol: AH(51)
- Source address: IP nguồn
- Destination address: IP đích
- Next header : gói tin ICMP ->
chế độ Transport(1Byte)
- Length: 4 (1Byte)-> chiều dài
thông điệp
- Reserved: 0000 -> không
được sử dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi
bản ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính
toàn vẹn, xác thực của gói
tin(12Byte)
2. Thiết lập hệ thống dùng IPSEC Transport và ESP

Cấu hình file ipsec-tools trên Server và Client

Client Server
2. Thiết lập hệ thống dùng IPSEC Transport và ESP

Cấu hình file ipsec-tools trên Server và Client

Client Server
2. Thiết lập hệ thống dùng IPSEC Transport và ESP
Khởi động lại Racoon và setkey

Từ Client thực hiện ping tới Server

2. Thiết lập hệ thống dùng IPSEC Transport và ESP
 Bắt gói tin và phân tích với Wireshark

-Protocol: ESP(50)
-Source address:
10.3.57.100
-Destination address:
10.3.57.1
-SPI: Chỉ số duy nhất
của mỗi bản ghi trong
CSDL(4Byte)
-Sequence: Số tuần tự
của gói tin(4Byte)
2. Thiết lập hệ thống dùng IPSEC Transport và ESP
 Bắt gói tin và phân tích với Wireshark

- Protocol: ESP(50)
- Source address:
10.3.57.1
- Destination address:
10.3.57.100
- SPI: Chỉ số duy
nhất của mỗi bản ghi
trong CSDL(4Byte)
- Sequence: Số tuần
tự của gói tin(4Byte)
4. Thiết lập hệ thống dùng IPSEC Tunnel và AH
 Cấu hình lại tệp ipsec-tools.conf

Server Client
4. Thiết lập hệ thống dùng IPSEC Tunnel và AH
 Khởi động lại Racoon và setkey

 Từ Client thực hiện Ping tới Server

4. Thiết lập hệ thống dùng IPSEC Tunnel và AH
 Chặn và phân tích gói tin bằng Wireshark

- Protocol: AH(51)
- Source address: 10.3.57.100
- Destination address:
10.3.57.1
- Next header : IPIP(4) -> chế
độ Tunnel(1Byte)
- Length: 4 (1Byte)-> chiều
dài thông điệp
- Reserved: 0000 -> không
được sử dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi
bản ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính
toàn vẹn, xác thực của gói
tin(12Byte)
4. Thiết lập hệ thống dùng IPSEC Tunnel và AH
 Chặn và phân tích gói tin bằng Wireshark
- Protocol: AH(51)
- Source address:
10.3.57.1
- Destination address:
10.3.57.100
- Next header : IPIP(4) ->
chế độ Tunnel(1Byte)
- Length: 4 (1Byte)->
chiều dài thông điệp
- Reserved: 0000 -> không
được sử dụng(2Byte)
- SPI: Chỉ số duy nhất của
mỗi bản ghi trong
CSDL(4Byte)
- Sequence: Số tuần tự của
gói tin(4Byte)
- ICV= Giá trị đảm bảo
tính toàn vẹn, xác thực
của gói tin(12Byte)
5. Thiết lập hệ thống dùng IPSEC Tunnel và ESP
 Cấu hình tệp ipsec-tools.conf

Server Client
5. Thiết lập hệ thống dùng IPSEC Tunnel và ESP
 Khởi động lại Racoon và setkey

 Từ Client ping tới Server

5. Thiết lập hệ thống dùng IPSEC Tunnel và ESP
 Bắt gói tin và phân tích bằng Wireshark

Ping:
-SPI: Chỉ số duy nhất của
mỗi bản ghi trong
CSDL(4Byte)
-Sequence: Số tuần tự của
gói tin(4Byte)
5. Thiết lập hệ thống dùng IPSEC Tunnel và ESP
 Bắt gói tin và phân tích bằng Wireshark

Phản hồi:
-SPI: Chỉ số duy nhất của
mỗi bản ghi trong
CSDL(4Byte)
-Sequence: Số tuần tự của
gói tin(4Byte)
Cảm ơn thầy và các bạn đã xem bài slide của em