SWAN之ikev2协议esp-alg-md5-128配置测试

最新推荐文章于 2024-03-16 16:00:00 发布
最新推荐文章于 2024-03-16 16:00:00 发布
阅读量534 收藏
点赞数
分类专栏: IPSecurity 文章标签: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102923889
版权

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=3des-md5_128!,而采用ESP套件:DES_CBC / HMAC_MD5_128的过程。本次测试拓扑如下:
在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/esp-alg-md5-128/hosts/carol/etc/ipsec.conf,内容如下,IKE使用3des-md5-modp1024加密套件。ESP使用3des-md5_128套件,不进行DH协商。

config setup

conn %default
        ike=3des-md5-modp1024!
        esp=3des-md5_128!

conn home
        left=PH_IP_CAROL
        leftfirewall=yes
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add

网关moon的配置文件:ikev2/esp-alg-md5-128/hosts/moon/etc/ipsec.conf以及strongswan.conf配置文件,内容与以上carol主机的配置类似,不在列出。

测试准备阶段

配置文件:ikev2/esp-alg-md5-128/pretest.dat,内容为通常的ipsec连接的启动语句。

测试阶段

配置文件:ikev2/esp-alg-md5-128/evaltest.dat内容如下。在确认moon网关和carol主机上连接建立之后,主机carol执行ping主机alice的命令,测试连通性,测试数据使用字符串deadbeef,在之后的tcpdump抓包中将在此看到此内容。

carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES
moon:: ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
carol::ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
moon:: ip xfrm state::auth-trunc hmac(md5)::YES
carol::ip xfrm state::auth-trunc hmac(md5)::YES

在moon网关和carol主机上查看ipsec statusall和ip xfrm state命令的执行结果,检查strongswan进程和内核中的连接信息。以下为moon网关上ipsec statusall的输出。可见其中的子连接rw{1}中的字符串:3DES_CBC/HMAC_MD5_128。

Connections:
          rw:  192.168.0.1...%any  IKEv2
          rw:   local:  [moon.strongswan.org] uses public key authentication
          rw:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
          rw:   remote: uses public key authentication
          rw:   child:  10.1.0.0/16 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
          rw[1]: ESTABLISHED 1 second ago, 192.168.0.1[moon.strongswan.org]...192.168.0.100[carol@strongswan.org]
          rw[1]: IKEv2 SPIs: ef0548c21ad25773_i 1380490623c5f127_r*, public key reauthentication in 54 minutes
          rw[1]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
          rw{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c9d57751_i c9c5959c_o
          rw{1}:  3DES_CBC/HMAC_MD5_128, 148 bytes_i (1 pkt, 0s ago), 148 bytes_o (1 pkt, 0s ago), rekeying in 14 minutes
          rw{1}:   10.1.0.0/16 === 192.168.0.100/32

以下为ip xfrm state的输出内容。可见认证采用的MD5-128bits,加密使用3DES-192bits。

src 192.168.0.1 dst 192.168.0.100
        proto esp spi 0xc9c5959c(3385169308) reqid 1(0x00000001) mode tunnel
        replay-window 0 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(md5) 0x384c606cc56eacb172cd08faba262551 (128 bits) 128
        enc cbc(des3_ede) 0x8528b5ad9e1a06b702f8a62d226c08be70372711d1f8c276 (192 bits)
src 192.168.0.100 dst 192.168.0.1
        proto esp spi 0xc9d57751(3386210129) reqid 1(0x00000001) mode tunnel
        replay-window 32 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(md5) 0xe9bf6b33fd0e203d273d5bc8ddbe354e (128 bits) 128
        enc cbc(des3_ede) 0xead74cba486acc5972f2d1aea4fc56c0dcb797e484861ba1 (192 bits)

以下为carol主机和moon网关协商的proposal。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
VPN、IPSEC、AH、ESPIKE、DSVPN
xiaooxiangg的博客
04-14 3934
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
swan-aspnetcore:SWAN ASP.NET核心
05-28
Swan ASP.NET Core 3:我们都需要的东西 :star: 如果您觉得该项目有用,请加注星标! **注意:此存储库已存档。 ** 与ASP.NET Core 3.0应用程序一起使用的一组库。 此外,还包括用于配置项目的配置中间件和扩展。...
SWANikev2协议esp-alg-aes-gmac配置测试
redwingz的博客
11-05 725
测试主要验证远程用户carol和网关moon使用ESP套件:NULL_AES_GMAC_256建立的仅认证的连接,在配置文件ipsec.conf中通过设置esp=aes256gmac-curve25519! 实现。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/esp-alg-aes-gmac/hosts/carol/etc/ipsec.conf,内容如下,IKE使用...
Ubuntu连接IKEv2
Tom Campbell的博客
10-19 2699
Ubuntu连接IKEv2 安装组件 sudo apt-get install strongswan sudo apt-get install sudo apt-get install network-manager-strongswan sudo apt-get install libstrongswan-extra-plugins 之后重启电脑 创建连接 进入设置->网络->VPN 新建VPN 在新建中选择“IPsec/IKEv2"输入网关、用户名与密码即可(如果连接的是交大vpn可能需
详解IP安全:IPSec协议簇 - AH协议 - ESP协议 - IKE协议
最新发布
m0_61869253的博客
03-16 1523
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 9473
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
strongSwanipsec.conf – IPsec配置和连接
hhd1988的专栏
05-18 5490
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
strongswanipsec.conf配置手册
衡水铁头哥的博客
07-09 6706
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
MD5和3DES加密方式浅析
weixin_34067102的博客
07-12 1331
这几天在做字段加密的内容。所以就把这部分东西简单的了解一下。1、首先,加密分对称加密及不对称加密。对称加密:在消息发送前使用密钥对消息进行加密,在对方收到消息后,使用相同的密钥进行解密。非对称加密:加密和解密使用不同的密钥。通常有密钥A和B,使用A加密得到的密文只有B可以解密(A自身也不可解)。即为私钥和公钥。顾名思义,私钥加密,公钥解密。典型...
openswan-ipsec.conf的配置说明
Zhang.Y的专栏
12-15 8591
原文出处:http://www.cnblogs.com/rayz/p/3669319.html Name ipsec.conf - IPsec configuration and connections Description The optional ipsec.conf file specifies most configuration and control infor
【译】IPSEC.CONF(5) - IPsec配置
u014089899的博客
05-30 5670
NAMEipsec.conf —— IPsec配置DESCRIPTIONipsec.conf指定了Openswan IPsec子系统的大多数配置和控制信息。include ipsec.*.conf 包含指定的配置文件CONN SECTIONSconn项定义了一个IPsec连接的规范,名字可以随意定义。例如:conn snt left=10.11.11.1 leftsubnet=10...
strongswan与sangfor的ikev2配置
zdl244的博客
07-03 1301
strongswan与sangfor的ikev2配置 ikev1参考:https://blog.csdn.net/zdl244/article/details/103163256 [root@moc ~]# yum install epel-release -y [root@moc ~]# yum install strongswan -y [root@moc ~]# cat /etc/strongswan/ipsec.conf config setup # strictcrlpolicy=
什么标准规定了aes加密_aes 128标准加密使用哪些字符
weixin_39738273的博客
12-22 1154
AES算法基本知识AES的全称是Advanced Encryption Standard,即高级加密标准。该项目由美国国家标准技术研究所(NIST)于1997年开始启动并征集算法,在2000年确定采用Rijndael 作为其最终算法,并于2001年被美国商务部部长批准为新的联邦信息加密标准(FIPS PUB 197)。FIPS PUB 197中说明该标准的正式生效日期是2002年5月26日。该标准...
RSA,DES,RC4,3DES ,MD5
weixin_30716141的博客
02-17 446
一,RSA算法基于一个十分简单的数论事实:将两个大质数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。 RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。 RSA的算法涉及三个参数,n、e1、e2。 其中,n是两个大质数p、q的积,n的二进制表示时所占用的位数,就是所谓的密钥长度。 e1和e...
安信可ESP32-S AT固件连接MQTT服务器使用文档
安信可科技
03-18 4270
文章目录说明MQTT AT 指令使用说明AT+MQTTUSERCFG - 配置 MQTT 用户属性AT+MQTTCLIENTID - 配置 MQTT 客户端 IDAT+MQTTUSERNAME - 配置 MQTT 登录用户名AT+MQTTPASSWORD - 配置 MQTT 登录密码AT+MQTTCONNCFG - 配置 MQTT 连接属性AT+MQTTCONNAT+MQTTPUBAT+MQTTPUBRAWAT+MQTTSUBAT+MQTTUNSUBAT+MQTTCLEANMQTT 状态码说明其他说明测试
Failed to connect to cq-bbjf-swan-32-1:41834
04-01
As an AI language model, I do not have enough information to accurately diagnose the issue. However, "Failed to connect" typically means that a connection was attempted but not successfully established. "cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the server being down. It is recommended to check the server status, network connection, and ensure that the correct credentials are being used. If the issue persists, contacting the server administrator or technical support may be necessary.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值