一、实验目的及要求:
(1)搭建虚拟实验环境,创建虚拟机两台,均安装windows 7操作系统,并进行网络配置,实现虚拟机之间的通信。
(2)掌握IPSec的工作原理,掌握Window系统下基于预共享密钥的传输模式IPSec策略的配置及使用。
1. 能够综合运用专业基本理论和专业技术解决实际问题:
(1) 能够熟练使用计算机进行实验的操作;
(2) 能够完成自己的实验,并且与组员协作完成实验;
(3) 可以协助教师进行实验。
2. 本实验分为两次课,第一课搭建虚拟实验环境,第二课掌握IPSec的工作原理,掌握Window系统下基于预共享密钥的传输模式IPSec策略的配置及使用。
3. 实验环境
(1)虚拟机A,其操作系统为windows 7,32位;
(2)虚拟机B,其操作系统为windows 7,32位。
二、实验原理
IPSec提供了两种安全机制: 认证(采用ipsec的AH)和加密(采用ipsec的ESP)。IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语SA(Security Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。要实现AH和ESP,都必须提供对SA的支持。通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。
三、实验步骤与成果
1.搭建虚拟实验环境
2.在虚拟机A的基础上,创建虚拟机B。
3.虚拟主机A与虚拟主机B之间的通信测试,保证相互之间可以ping通。
4.掌握Window系统下基于预共享密钥的传输模式IPSec策略的配置及使用。
5.分配安全策略
此时由虚拟主机A ping 虚拟主机B,无法ping通。
在虚拟主机B上创建相同的安全策略,注间目标地址要改为虚拟主机A的IP地址,共享密钥要设置一致,并“分配”。
此时由虚拟主机A ping 虚拟主机B,可以ping通。
四、比较IPSec协议和SSL协议。
认证方法
IPSec支持一种身份验证方法,SSL支持多种不同的身份认证方法。
IPSec采用双向身份验证,SSL采用单向/双向身份验证。
底层协议
在服务器端,IPSec和SSL都要绑定到特定的端口。
在客户端,IPSec需要绑定到特定端口,而SSL不用。IPSec向原数据包增加新的TCP报头,支持UDP和TCP应用程序。
SSL在TCP层上工作,只支持TCP应用程序。
命令加密操作
IPSec先对数据进行加密,然后为加密的数据生成消息鉴别码MAC。
SSL先为明文创建MAC,然后再对数据进行加密。
IPSec在进行任何解密过程之前,先验证MAC。
SSL先将数据包解密,然后再验证MAC。
压缩算法
IPSec通过IPComp的协议进行压缩。
SSL在小范围内使用压缩,OpenSSL支持压缩。