《网络安全与渗透测试》课堂笔记---14

2019/5/6 - - -
关于v*n的简单介绍和IPsec的小实验

v*n（Virtual Private Network）虚拟专用网络

v*n是指两个网络实体之间在Internet上建立一种“受保护”的安全连接

优势：成本低，灵活

分类：

（1）结构上

1）远程访问v*n
   面向的是一个个体，如出差员工。称之为“随身携带的局域网”
应用：SSL
2）站点到站点（site to site）的v*n
   面向是一个网络（组织）
 应用：IPSec v*n

（2）从隧道的构建技术上分为

1）二层隧道v*n
	PPTP(点到点的隧道协议)
	L2TP（二层隧道协议）
2）MPLS  v*n
	多协议标签交换，工作在2.5层
3）三层隧道v*n
	IPSEC
4)4层隧道v*n
	SSL

IPSec：开放标准的框架，通过使用加密安全服务确保IP网络通信的保密性和安全性，工作在网络层，可以用于身份验证，加密数据及对数据做认证

IPSEC协议组件

主要用于第一阶段的协商

（1）IKE 协商

前身是ISAKMP

主要用于第二阶段的数据安全保护
（2）AH——数据完整性

（3）ESP——数据的加密性、完整性保护

识别IPSec方案
传输（Transport）模式：用于保护主机到主机的通信
隧道（Tunnel）模式：用于保护主机和网络或者两个网络之间的通信 隐藏了真正的IP包头

关于IPsec的小实验

实验目的：

建立关于Windows server 2016 与Windows 7主机到主机的传输模式IPsec 协议规则
实现数据的加密性、完整性保护

实验环境：

一台Windows server 2016 和 一台Windows 7
都在同一网段，都关闭防火墙（实现ping通）

实验重点：

重点观察没有设置IPsec协议规则与设置了IPsec协议规则的区别
Windows server 2016 ping（走的是ICMP协议）Windows 7 时的具体情况（通过抓包软件wireshark观察）

重点掌握：

设置IPsec协议规则的方法

实验开始：

Windows server 2016 的IP地址是 192.168.247.21，并且关闭了防火墙

Windows 7 的IP地址是 192.168.247.137，也关闭了防火墙

他们两个能ping通

通过抓包软件wireshark抓包发现，ping包走的是ICMP协议，没有加密，非常不安全

打开Windows server 2016 ，windows + R ，
输入mmc，打开控制台，点击文件–添加/删除管理单元

找到IP安全策略管理，点击添加

输入一个名称，随意输入，这里输入的是new ipsec

不要勾选这个框，点击下一步

编辑属性的这个框勾选上，然后点击确定

先把使用添加向导的√去掉，然后点击添加。

选择添加

输入一个名称，同样把使用添加向导的√去掉后，点击添加

将源地址设置为我的IP地址
目标地址设置为一个特定的IP地址或子网，输入Windows 7的ip地址
镜像的√要打上

点击确定

将ip的圆点选中后，点击筛选器操作

还是把使用添加向导的√去掉，点击添加

选择协商安全，点击添加

选择自定义，点击设置

选择数据完整性和加密（ESP），完整性算法选择SHA1,加密算法选择DES

会提示，不安全，是因为这两种算法已经被**了，但是在这里没关系。选择是

点击常规

输入一个名称

把使用添加向导的√去掉后，选择身份验证方法

点击添加

选择使用此字符串（预共享**），然后输入你想输入的字符

把原来的Kerberos删除

点击隧道设置，选择不指定IPsec隧道，因为我们的是传输模式，不是隧道模式

最后的连接类型，选择局域网，点击应用

点击确定

选中右击，选择分配

现在的策略已指派显示是

同样的Windows 7也同样这样设置，一模一样的设置，具体的IP地址参考对照设置。

Windows 7 也设置好后，在Windows server 2016上再ping一下Windows 7

通过抓包发现，ICMP被加密了，这样的专用通信线路就是十分安全的了
OK，有什么问题，欢迎评论交流O(∩_∩)O~