《信息安全实验4.docx》由会员分享,可在线阅读,更多相关《信息安全实验4.docx(41页珍藏版)》请在三一办公上搜索。
1、甘肃政法学院本科生实验报告(四)姓名: 学院: 公安技术学院专业: 班级: 实验课程名称:信息安全概论实验日期: 2015年 6月 23日指导教师及职称: 实验成绩:开课时间:20142015 学年 第二学期甘肃政法学院实验管理中心印制实验题目Windows下PPTP VPN实验Windows下IPSec VPN实验Windows下SSL VPN实验小组合作否姓名班级学 号一.实验目的1配置和使用Win2003下主机到网络的PPTP VPN分组进行Win2003下网关到网关的PPTP VPN的配置和使用验证PPTP VPN的加密特性2针对上述两个实验环境,分别进行如下实验:创建IPSec策略;
2、定义IPSec 筛选器列表(filter list);配置IPSec 筛选器操作(Filter Action);配置身份验证方法。3配置SSL VPN 服务端配置客户端进行连接二实验环境实验使用本地主机和Windows实验台进行VPN的搭建和配置。主机到网络的PPTP VPN的网络拓扑如图3.3.11所示;其中本地主机IP为172.22.1.X/16, Windows实验台配置为双网卡模式,作为VPN服务器使用,两块网卡的IP分别为172.20.3.X/16和172.22.3.X/16。 图3.3.11 主机到网络的PPTP VPN网络拓扑网络到网络的PPTP VPN的网络拓扑如图3.3.12
3、所示;该部分实验以两人一组(A、B)的形式进行;其中主机A的本地IP为172.20.1.X/16,所用的Windows实验台A的两个IP分别为172.20.3.X/16和172.22.3.X/16;主机B的本地IP为172.21.1.Y/16,所用的Windows实验台B的两个(内外网)IP分别为172.21.3.Y/16和172.22.3.Y/16。图3.3.12 网络到网络的PPTP VPN网络拓扑Windows下SSL VPN的网络拓扑如图3.3.31所示,其中:客户端:本地主机(Windows XP),IP地址172.22.1.X服务端:Windows实验台VPN服务器,IP地址:17
4、2.22.X.X/16,内网IP为172.20.X.X/16 三、实验内容与步骤Windows下PPTP VPN实验点对点隧道协议(PPTP,Point-to-Point Tunneling Protocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户
5、机本身已经是IP网络的组成部分,那么即可通过该IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP。拨号网络可与 PAC 相连接而无需知道 PPTP。标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS
6、 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。 PPTP控制连接数据包包括一个IP报头、一个TCP报头和PPTP控制信息。Windows下IPSec VPN实验IPSec实际上是一套协议包而不是单个的协议,IPSec是在IP网络上保证安全通信的开放标准框架,它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409 IKE(Internet Key Exchange)互连网密钥交换、RFC2401 IPSec协议
7、、RFC2402 AH(Authentication Header)验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。IPSec独立于密码学算法,这使得不同的用户群可以选择不同一套安全算法。IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性(通过加密机制)、
8、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用,也可以配合使用,通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和安全联盟SA(Security Association)等部分。IKE在通信双方之间建立安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA中,供AH和ESP通信时使用。Windows下SSL VPN实验OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。Ope
9、nVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPSec及其它VPN软件包兼容。一、 加密OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。二、 验证OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时它只能用于建立点对点的VPN;基
10、于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密。三、 网络OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可
11、以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。IANA(Internet Assigned Numbers Authority)指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPSec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。 在选择协议时,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致
12、要隧道上层的协议进行重传,效率非常低下。四、实验过程与分析【实验步骤】一、 主机到网络的PPTP VPN的配置与使用(一) 网络环境配置根据原本地IP确定X的值,按照实验拓扑(图3.3.11)修改本地IP地址并对Windows实验台的IP进行相应配置。(二) 安装和配置VPN服务在Windows2003中PPTP VPN服务称之为“路由和远程访问”,默认状态为已安装,只需对此服务进行必要的配置并使其生效。(1) 启动Windows实验台,进入系统,依次选择“开始-设置-控制面板-管理工具-路由和远程访问”,进入“路由和远程访问”服务的窗口;在右侧窗口右击计算机名,选择“配置并启用路由和远程访问
13、”,如图3.3.13所示。图3.3.13 开始配置并启用路由和远程访问(2) 进入配置向导窗体后点击下一步,进行服务选择:标准的VPN标准VPN配置需要两块网卡,如果服务器有两块网卡,则可有针对性的选择第一项或第三项,如果服务器只有一块网卡,只能选择“自定义配置”;本实验中Windows实验台设置为两块网卡,此处选择第一项“远程访问(拨号或VPN)”,如图3.3.14所示。图3.3.14 服务选择(3) 点击下一步,进入远程访问窗体,勾选VPN和拨号,如图3.3.15所示。图3.3.15 远程访问(4) 点击下一步,进入VPN连接窗体,选定服务器连接到Internet的网络接口,如图3.3.1
14、6所示。图3.3.16 VPN连接(5) 点击下一步,进入IP地址指定窗体,有自动和指定地址范围两项,此处选择指定地址范围,如图3.3.17所示。图3.3.17 IP地址指定(6) 点击下一步,进入地址范围指定窗体,点击新建,进入IP地址编辑窗体,进行IP地址范围设定,如图3.3.18所示;设定完成后点击确定,返回地址指定窗体,如图3.3.19所示。图3.3.18 新建地址范围图3.3.19 地址范围指定(7) 点击下一步,进入管理多个远程访问服务器窗体,选择“否,使用路由和远程访问来对连接请求进行身份验证”。(8) 点击下一步,进入完成窗体,点击完成。可以看到PPTP VPN服务配置完成后,
15、服务处于启动状态,如图3.3.110所示。图3.3.110 服务启动下面设置用于远程连接VPN的用户名和密码,也可以使用已有账户进行连接。(9) 右击我的电脑,选择管理,打开计算机管理窗体,点击左侧窗体的“本地用户和组”,右击用户,选择新用户,进入新建用户窗体,输入用户名密码,设置为密码永不过期,点击创建,如图3.3.111所示。图3.3.111 新建用户(10) 在右侧窗体中右击新建的用户vpn,选择属性,进入属性设置窗体,选择拨号选项卡,分配用户远程接入权限,并可设定该用户拨入后所使用的IP地址(需在指定的地址范围内),如图3.3.112所示。图3.3.112 设置远程接入权限(三) 本地
16、主机配置(1) 打开命令窗口,ping172.20.3.X,结果如图3.3.113所示。图3.3.113 配置前ping内网IP(2) 右击网上邻居,选择属性,双击新建连接向导打开向导窗体。(3) 点击下一步,在“网络连接类型”中选择第二项“连接到我的工作场所的网络”。(4) 点击下一步,在网络连接窗口中选择第二项“虚拟专用网络连接”;(5) 点击下一步,为该连接命名,此处为ises。(6) 点击下一步,进入VPN服务器选择,输入服务器的主机名称或IP地址,此处输入IP地址,如图3.3.114所示。图3.3.114 VPN服务器选择(7) 点击下一步进入完成窗体,勾选创建桌面快捷方式,点击完成
17、,出现连接窗体。(8) 在连接窗体中输入刚刚创建或指定的用户名密码,勾选为下列用户保存用户名和密码,选择只是我,点击连接,如图3.3.115所示。图3.3.115 连接VPN(9) 连接成功后,桌面右下角会有相应提示;同时网络连接中显示已连接,如图3.3.116所示。图3.3.116 连接成功(10) 打开cmd窗口,ping 172.20.3.X,结果如图3.3.117所示。图3.3.117 配置完成后ping内网IP(四) 实验分析(1) 远程查看VPN连接状态,如图3.3.118所示。图3.3.118 服务器端远程查看连接状态(2) 本地查看连接状态,如图3.3.119所示。图3.3.1
18、19 本地查看连接状态(五) 验证PPTP VPN的加密特性使用wireshark分别从真实网卡和VPN建立的虚拟隧道上抓取数据包,比较实现相同的网络操作,数据包有什么不同。二、 网关到网关的PPTP VPN的配置和使用(一) 网络环境配置参照该部分实验的网络拓扑进行如下的网络环境配置:主机A的本地IP为172.20.1.X/16,Windows实验台A的两个IP分别为172.20.3.X/16和172.22.3.X/16;主机B的本地IP为172.21.1.Y/16,Windows实验台B的两个IP分别为172.21.3.Y/16和172.22.3.Y/16。(二) 主机A的设置(1) 确定
19、本地IP设置为20网段。(2) 进入Windows实验台的系统,确定系统的两个IP分别为20网段和22网段。(3) 打开“路由与远程访问”,在左侧窗口选择网络接口,右击网络接口,选择新建请求拨号接口,如图3.3.120所示。图3.3.120 新建请求拨号接口(4) 进入新建向导,点击下一步,接口名称输入server1,该名称用于对端进行拨入连接,如图3.3.121所示。图3.3.121 输入接口名称(5) 点击下一步,连接类型选择“使用虚拟专用网络”,如图3.3.122所示。图3.3.122 选择连接类型(6) 点击下一步,VPN类型选择“自动选择”;(7) 点击下一步,目标地址输入对端服务器
20、的IP地址,如图3.3.123所示。图3.3.123 设定目标地址(8) 点击下一步,协议及安全措施选择“在此接口上路由选择IP数据包”和“添加一个用户账户使远程路由器可以拨入”,如图3.3.124所示。图3.3.124 协议及安全措施(9) 点击下一步,点击添加,添加远程网络拨入时的静态路由,如图3.3.125所示;点击确定返回向导窗体,如图3.3.126所示。图3.3.125 添加静态路由图3.3.126 添加结果(10) 点击下一步,设置拨入凭据,输入密码为123,如图3.3.127所示。图3.3.127 设置拨入凭据(11) 点击下一步,设置拨出凭据,用户名为server2,密码为12
21、3,如图3.3.128所示。图3.3.128 设置拨出凭据(12) 点击下一步,点击完成。查看“路由与远程访问”窗口,可以看到建立了一个名为“server1”的请求拨号连接,即为对端要拨入的连接,如图3.3.129所示。图3.3.129 添加接口成功(三) 主机B的设置(1) 确定主机B的本地IP设置为21网段。(2) 进入Windows实验台系统,确定系统的两个IP分别为21网段和22网段。(3) 打开“路由与远程访问”,在左侧窗口中右键单击以计算机名命名的服务器,选择属性,如图3.3.130所示。图3.3.130 右击选择属性(4) 选择IP选项卡,选定静态地址池,点击编辑,如图3.3.1
22、31所示。图3.3.131 选择IP选项卡下的静态地址池(5) 将起始地址修改为172.21.1.150,终止地址修改为172.21.1.254,使之对应内网网段(此处为21网段),如图3.3.132所示;点击确定返回属性窗体,点击确定应用修改。图3.3.132 修改静态地址范围(6) 在左侧窗口选择网络接口,右击网络接口,选择新建请求拨号接口,进入新建向导。(7) 点击下一步,接口名称输入server2,对应主机A的拨出凭证的用户名,用于主机A拨入主机B。(8) 点击下一步,连接类型选择“使用虚拟专用网络”。(9) 点击下一步,VPN类型选择“自动选择”。(10) 点击一步,目标地址输入对端
23、服务器的IP地址,如图3.3.133所示。图3.3.133 输入目标地址(11) 点击下一步,协议及安全措施选择“在此接口上路由选择IP数据包”和“一个用户帐户使远程路由器可以拨入”。(12) 点击下一步,点击添加,添加远程网络拨入时的静态路由,如图3.3.134所示。图3.3.134 设定静态路由(13) 点击下一步,设置拨入凭据,输入密码为123,如图3.3.135所示。图3.3.135 设置拨入凭据(14) 点击下一步,设置拨出凭据,用户名为server1,密码为123,如图3.3.136所示。图3.3.136 设置拨出凭据(15) 点击下一步,点击完成。查看“路由与远程访问”窗口,可以
24、看到建立了一个名为“server2”的请求拨号连接,即为对端要拨入的连接,如图3.3.137所示。图3.3.137 添加接口成功(四) 网络连通性验证在主机A的本地ping 172.21.1.Y时,最初需要协商,显示网络不通。待协商完成后,再次ping即可显示出网络畅通。上述过程如图3.3.138所示。图3.3.138 网络连接成功(五) 验证PPTP VPN的加密特性用wireshark进行数据包抓取,从数据包中可以看到两主机之间的数据交互是通过vpn进行的,并且均已加密。【实验步骤】一、 主机到主机(一) 主机配置本地主机根据实验拓扑图进行网络环境配置。(二) 实验台中,添加关于ICMP协
25、议的安全策略(1) 控制面板管理工具本地安全设置打开IP安全策略向导,新建一个IP策略,如图3.3.24所示。图 3.3.23图3.3.24 IP安全策略向导(2) 选择认证方式,如图3.3.25所示;然后对该策略进行编辑,如图3.3.26所示。图3.3.25 IP安全策略向导图3.3.26 IP安全策略向导(3) 点击“添加”,添加新的IP规则,如图3.3.27所示。图3.3.27(4) 添加IP安全规则,选择所有ICMP通讯,如图3.3.28和图3.3.29所示。图3.3.28图3.3.29(5) 配置身份验证方法,如图3.3.210所示。图3.3.210 新规则(6) 点击确定,完成;配
26、置成功后如图3.3.211所示。图3.3.211 本地安全设置(三) 本地主机,添加ICMP安全策略具体步骤同虚拟主机步骤,暂时并不激活该规则,注意本地预共享密钥需与实验台的一致,才能保证实验正常。(四) ping程序测试连接(1) 本地主机 ping 172.20.0.1 t 查看连接状态,如图3.3.212所示。图3.3.212(2) 在运行ping的同时,右键点击新建的IP安全策略,选择指派,查看ping程序运行状态,如图3.3.213所示。图3.3.213(3) 对两台机器同时指派,查看ping状态,如图3.3.214所示,可以看到两台主机已经可以ping通。图3.3.214(五) 开
27、启协议分析软件,查看双方加密的交互过程(1) 密钥交换过程,如图3.3.215所示。图3.3.215(2) ICMP协议加密,如图3.3.216所示。图3.3.216二、 网关到网关(一) 网络配置依据实验环境,网关A上进行网络环境配置(1) 查看主机A的IP地址,并添加其网络地址172.20.1.X;(2) 主机A本地添加路由:(或修改默认网关为172.20.3.X);route add 172.21.0.0 mask 255.255.0.0 172.20.3.X;route add 172.22.0.0 mask 255.255.0.0 172.20.3.X;图 3.3.217(3) 主机
28、A中的实验台启用LAN路由(控制面板管理工具路由和远程访问),如图3.3.218所示。图 3.3.218图3.3.219(4) 指定A主机实验台的默认网关为172.22.3.Y;如下图所示:图 3.3.220 本地连接(5) 查看并添加B主机网络地址172.21.1.Y;(6) 主机B本地添加路由:(或修改默认网关为172.21.3.Y);route add 172.20.0.0 mask 255.255.0.0 172.21.3.Y;route add 172.22.0.0 mask 255.255.0.0 172.21.3.Y;(7) 主机B中的实验台启用LAN路由(同(3);(8) 指定
29、B主机实验台的默认网关为172.22.3.X(同(4)。(二) 创建IPSec策略(1) 在A机实验台上运行IPSec策略管理控制台,即在起命令行窗口运行“secpol.msc”,打开“本地安全设置”窗口,进行IP安全策略设置。(2) 创建本实验台计算机IP安全策略。 例如“ServerA”;如下列图所示:图 3.3.221 IP安全策略向导图 3.3.222 IP安全策略向导图 3.3.223 IP安全策略向导图 3.3.224 IP安全策略向导图 3.3.225 IP安全策略向导(3) 选中“编辑属性”复选框,单击“完成”,至此已创建名为“ServerA”的IP安全策略,以下步骤为设置其属
30、性。(4) 主机B实验台新建IPSec策略“ServerB”,步骤略。(三) 主机A安全规则(1) 添加“a-b”的IPSec 筛选器列表图3.3.226 添加规则1) 如图3.3.226所示,在“a-b”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec筛选器;2) 在“IP筛选器列表”窗口,输入名称“a-b”,清除“使用添加向导”复选框,单击添加按钮,进入IP筛选器 属性窗口。3) “源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,该规则定义了从主机A到主机B的网络之间所使用的规则,清除“镜像”复选框;在“协议”标签中“选择协议类
31、型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“a-b”的筛选器。(2) 配置身份验证方法1) 在“本地安全设置”窗口中,右键点击“ServerA”,选择属性,打开“ServerA属性”窗口,编辑“a-b筛选器”,然后单击“身份验证方法”标签。2) 单击“添加”按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456”,单击“确定”。至此已配置好身份验证方法,如图3.3.226所示。图3.3.227(3) 配置a-b筛选器规则:隧道设置项IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安
32、全通讯请求;或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机A要与计算机B安全地交换数据,计算机A上的活动IPSec策略必须有针对计算机B的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.Y,如 图3.3.227所示。图3.3.228(4) 定义IPSec筛选器操作在“ServerA”属性窗口双击“a-b”,再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性”对话框中,定义所使用的安全措施,例如保持完整性,如图3.3.228所示。图3.3.229(5) 添加b-a的IPSec 筛选器列表图3.3.
33、2301) 如图3.3.229所示,在“b-a”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec 筛选器;2) “源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,该规则定义了从主机B到主机A的网络之间所使用的规则,如图3.3.230所示,清除“镜像”复选框;在“协议”标签中“选择协议类型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“b-a”的筛选器。图3.3.231(6) 配置身份验证方法1) 编辑“b-a筛选器列表”,然后单击“身份验证方法”标签;2) 单击“添加”按钮,选择“此字串用来保护密钥交换(预共享密钥)”
34、单选框,输入“123456”,单击“确定”。至此已配置好身份验证方法,如图3.3.231所示。图3.3.232(7) 配置b-a规则隧道终结点IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照 IP 筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机 B 要与计算机 A 安全地交换数据,计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的IPSec 策略的筛选器。A实验台隧道终点IP地址为172.22.3.X,如图3.3.232所示。图3
35、.3.233(8) 定义IPSec筛选器操作双击“b-a”,再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性” 对话框中,定义所使用的安全措施,例如“仅保持完整性”,如图3.3.233所示。图3.3.234(四) 主机B网络配置(1) 添加a-b的IPSec 筛选器列表图3.3.2351) 如图3.3.234所示,在“a-b”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec 筛选器;2) 在“IP筛选器列表”窗口,输入名称“a-b”,清除“使用添加向导”复选框,单击添加按钮,进入IP筛选器 属性窗口。3) “源地址”选择“一个特定的子网”,“目标地址”也选择“
36、一个特定的子网”,分别填上IP地址,该规则定义了从主机A到主机B的网络之间所使用的规则,清除“镜像”复选框;在“协议”标签中“选择协议类型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“a-b”的筛选器。(2) 配置身份验证方法1) 编辑“a-b筛选器列表”,然后单击“身份验证方法”标签。2) 单击“添加” 按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456”, 单击“确定”。 至此已配置好身份验证方法,如图3.3.235所示。图3.3.236(3) 配置a-b规则隧道终结点IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适
37、用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机A 要与计算机 B 安全地交换数据,计算机A 上的活动 IPSec 策略必须有针对计算机B 的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.Y,如图3.3.236所示。图3.3.237(4) 定义IPSec筛选器操作双击“a-b”,再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性”对话框中,定义所使用的安全措施,例如保持完整性,如图3.3.237所示。图3.3.238(5) 添加b-a的IPS
38、ec筛选器列表图3.3.2391) 如图3.3.238所示,在“b-a”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec 筛选器2) “源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,该规则定义了从主机B到主机A的网络之间所使用的规则,如图3.3.239所示,清除“镜像”复选框;在“协议”标签中“选择协议类型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“b-a”的筛选器。图3.3.240 筛选器(6) 配置身份验证方法1) 编辑“b-a筛选器列表”,然后单击“身份验证方法”标签。2) 单击“添加”按钮,选择“此字串用
39、来保护密钥交换(预共享密钥)”单选框,输入“123456”,单击“确定”,至此已配置好身份验证方法,如图3.3.240所示。图3.3.241(7) 配置b-a规则隧道终结点IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照 IP 筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机 B 要与计算机 A 安全地交换数据,计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的IPSec 策略的筛选器。A实验台隧道终点IP地址为172.22.3.X
40、,如图3.3.241所示。图3.3.242(8) 定义IPSec 筛选器操作双击“b-a”, 再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性” 对话框中,定义所使用的安全措施,例如“仅保持完整性,如图3.3.242所示。图3.3.243(五) 测试IPSec策略按要求分别在A、B两机配置好IPSec策略后,需测试其是否正常工作,在测试前需将A、B两机配置成路由器,并起用IP路由功能,(“路由和远程访问”)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后,IPSec策略测试步骤如下:(1) 运行IPSec策略管理控制台,在左边
41、窗口选择“IP安全策略,在本地机器”,在右边窗口出现创建的名为“ServerA”或“ServerB”安全通信的IPSec策略,右击“ServerA和ServerA的安全通信”,选择“指派”,则其“策略已指派”栏由“否”变为“是”。在A、B两机上均需做此操作。(2) 在A主机上打开命令窗口,做PING操作(即ping t 172.21.X.X)。该操作中源和目的IP地址匹配我们在A、B两机上设置的筛选器,其将触发B、A之间的安全通信。(3) 在B主机上打开IP安全监控工具注:Windows 2000方法:“开始|运行|IPSecmon”即可。Windows xp 运行mmc,添加名为“Ip管理监
42、视器”的管理单元。Windows xp 下如图3.3.243所示。图3.3.244三、 查看IPSec密钥交换过程ICMP协议加密如图3.3.244所示。图3.3.245【实验步骤】一、 根据实验拓扑配置环境根据实验环境中的拓扑图,配置服务器(Windows实验台)与客户端(本地主机)的IP地址。二、 安装与配置这一部分是服务端跟客户端都要做的工作,操作完全相同。具体如下:双击 openvpn-2.0.9.exe进行安装,点击NEXT、I Agree、NEXT之后开始选择安装路径,手动修改为C:Program FilesOpenVPN 。点击 Install 开始安装,安装过程如图3.3.32
43、所示;安装过程中,弹出硬件安装窗口,点击仍然继续,安装虚拟网卡。点击 next、Finish 完成安装。 图3.3.32三、 VPN服务器初始化配置在进行操作之前,首先进行初始化工作:打开命令提示符:“开始|运行”,键入cmd,回车,进入命令提示符;或者“开始|程序|附件|命令提示符”;进入C:Program Filesopenvpneasy-rsa目录下,开始初始化,具体命令如下:cd C:Program Filesopenvpneasy-rsa init-configvarsclean-all 如下图:图 3.3.33上面是初始化工作,以后,在进行证书制作工作时,仍旧需要进行初始化,但只需
44、要进入openvpneasy-rsa目录,运行vars就可以了,不需要上面那些步骤了。四、 服务器证书的制作(1) 生成根证书输入build-ca.bat,如图3.3.34所示;图3.3.34输入build-dh.bat,如图3.3.35所示。图3.3.35(2) 生成服务端密钥输入build-key-server server,生成服务端密钥;生成服务端密钥的过程中,所填写的common name需要与build-ca中所输入的common name名称一致,其余的摁空格选择默认或手动输入皆可;具体如图3.3.36所示。图3.3.36(3) 生成客户端密钥输入build-key client
45、1生成第一个VPN客户端密钥,如图3.3.37所示;图3.3.37build-key client2 /可以继续配置第二个VPN客户端密钥;生成的密钥存放于C:Program Filesopenvpneasyrsakeys目录下。五、 配置服务器在C:Program FilesOpenVPNeasy-rsakeys目录下,将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:Program FilesOPENVPNKEY目录下(如果没有可以自己创建),这四个文件是VPN服务端运行所需要的文件。注:“ca.crt”“dh1024.pem”
46、“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件在C:Program FilesOpenVPNconfig目录下创建server.ovpn,服务器端文件(server.ovpn)示例:local 172.22.1.X #建立VPN的IPport 443 #端口号,根据需要,自行修改,如果是用http代理连接,请不要修改proto tcp-server #通过TCP协议连接dev tap #win下必须设为tapserver 172.20.0.0 255.255.0.0 # 虚拟局域网网段设置,请根据需要自行修改,不支持和拔号网卡位于同一网段push route 0.0.0
