Microsoft Wi n d o w V i s t a b e t a与L i n u x间I P s e c交互测试
作者:H a n k J a n s s e n,C h r i s R a w l i n g s,S a m V a u g h a n
翻译:J o n e_l i n u x邮箱:l i l y456789@163.c o m B l o g:h t t p://h i.b a i d u.c o m/j o n e_l i n u x
摘要:凤凰传奇玲花老公
这篇文档提供了L i n u x下I P s e c解决方案及详细讨论Red Hat Linux Enterprise 4与Windows Vista Ultimate Beta间配置IPsec-Tools互相操作情况。
目录:
1 介绍
1.1 文档及测试的范围
1.2 范围之外
2Linux IPsec概述
2.1 IPsec的实现
2.2 IPsec-Tools
2.2.1 IPsec-Tools配置(f)
2.2.1.1 传输模式
2.2.1.2 隧道模式
2.2.2 IPsec-Tools配置(f)
2.2.3 IPsec-Tools管理
2.2.
3.1 启动IPsec
2.2.
3.2 停止IPsec
郑佳甄
3 测试环境刘媛媛老公
3.1 图片描述
3.2 硬件
3.3 软件
3.3.1 Red Hat Linux Enterprise 4
3.3.2 Windows Vista Ultimate Beta
3.3.3 Windows Server 2003 R2 Enterprise Edition / Windows XP Professional Edition
3.3.4 认证服务器
4 身份验证测试场景及配置
4.1 测试描述
4.2 测试场景/安装设置
4.2.1 预共享密钥(PSK’s)
4.2.2 认证
4.2.2.1 Linux认证生成
4.2.2.2 认证策略配置
4.3 测试结果
4.3.1 已知问题
5 主模式测试场景及配置
5.1测试描述
5.2测试场景/安装设置
皋怎么读音5.2.1 生命期及重定密钥
5.3 测试结果
5.3.1已知问题
6 速模式测试场景及配置
6.1 测试描述
6.2 测试场景/安装设置
什么游戏好玩啊6.2.1 AH+ESP
6.2.2 过滤
6.3 测试结果
6.3.1 密钥长度可变
6.3.2
6.3.3 过滤问题
6.3.4 不支持的测试
7 安全关联(SA)通讯流测试场景及配置
7.1 测试描述
7.2 测试场景/安装设置
7.2.1 网到网配置
7.3 测试结果
7.3.1安全关联(SA)问题
8 检查及解决IPsec连接
8.1 网络抓取
8.1.1 应用tcpdump软件
8.1.2 Tethereal / Wireshark
8.2 Racoon记录文件
8.3 SAD / SPD
9 附录
9.1 转换Windows Vista PFX 文件供Racoon使用
1 介绍
1.1 文档及测试的范围
这篇文档描述了微软开源实验室内,基于Linux和Window Vista之间对IPsec交互场景进行配置与测试。它提供在Linux下IPsec的解决方案,详细的IPsec-Tools配置以及通过测试得到的结果与观察。
测试的主要目标是发现Linux与微软将新推出Vista操作系统间IPsec互操作的标准。工程的另一个目标是,通过在测试中进行辨别及修补问题来提高Vista的IPsec功能。
测试工程包括如下范围:
• IPV4-利用IPV4对所有的IPsec进行测试。
• IPsec-Tools-利用IPsec-Tools(版本0.3.3)包在Linux做所有的IPsec测试。
如有需要,利用手动编译版本(0.6.6)做附加测试。
• 利用高级防火墙及安全管理单元,在Vista设置所有的IPsec配置。
如果利用安全管理单元测试中出现问题,则用IPsec策略管理单元进行回归测试。
根据以上的范围,针对以下几种场景进行测试:
• 认证测试-预共享密钥、证书。
• 传输模式下的IPsec。
• 隧道模式下的IPsec。迟帅资料
• 生命期及重生。
• IPsec连接之Νat to Nat的遍历。
• 安全方法-AES/3DES及多种安全方法测试。
• 发送真实的通讯建立IPsec连接。
文档除了提供一个互联测试的记录外,更主要的是为Window IPsec专家提供资源,以便能在Linux上利用IPsec-Tools成功配置IPsec连接。
1.2 不涵盖的范围
下面的几项测试不属于本文档及测试所涵盖的范围:
• Window Vista配置-通常情况下,本文档不会提供Window Vista中IPsec的配置信息,只提供在Linux下的IPsec配置例子及指令。
• 详细的配置-本文档不包含针对每个单独测试场景的配置及结果。
• 不使用IPV6。
• 不使用Kerberos认证。
• 不使用第三方软/硬件的解决方案,只用IPsec-Tools进行测试。
2 Linux IPsec 简述
2.1IPsec的实现
在进行IPsec交互配置实验之前,我们需要先理解Linux中不同的IPsec实现方法。与Vista 不同,Linux下有多种方式及工具来实现IPsec。在Linux下,需要二个组件来完成IPsec的连接工作:IPsec内核执行和包括IKE守护进行的一个用户包。
• IKE:Internet密钥交换协议。是用于交换和管理在VPN中使用的加密密钥的。IKE解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。IKE是非常通用的协议,不仅可为IPsec协商安全关联,而且可以为SNMPv3、RIPv2、OSPFv2等任何要求
保密的协议协商安全参数。
IPsec内核执行:
Linux内核从2.5.47开始,就存在一个IPsec堆,众所周知的NETKEY/26sec。另外还包括一个KLIPS堆,但本文档只讨论2.6内核正式版的NETKEY。
用户包工具:
下面列出了内核中几个可选的用于管理及配置IPsec特性的用户包。每个用户包都包含了一个IKE服务及配置IPsec连接的工具:
• IPsec-Tools:这个默认包被安装在RHEL4和FC5中。
• Openswan:一个不错的可替代IPsec-Tools的包,在VPN环境中十分流行。
• strongSwan:一个不错的可替代IPsec-Tools的包。
• FreeS/WAN:Linux开始时首先应用的IPsec包,但现在已经不怎么发展了。
• ISAKMPD:OpenBSD中一个IPsec软件的Linux端口。
上面的几个包都可以与NETKEY共用,但是只有IPsec-Tools是预装到RHEL4和FC5中或Ubuntu中。既然IPsec-Tools是默认包,就更能说明它在未来能继续发展,当然在本文档中也选中它与NETKEY一同进行所有的测试。
注解:与Vista不同,Linux的IPsec并不紧密依赖防火墙。利用防火墙是可选的,利用iptables (Linux下防火墙的软件)配置,它与IPsec-Tools配置是分开的。
2.2IPsec-Tools
在测试中我们用到了二个IPsec组件:NETKEY和IPsec-Tools。当IPsec-Tools提供IKE守护进程和应用程序配置不同的IPsec设置及操作时,NETKEY为IPsec提供核心特性及必需的网络可操作性。
下面列出了IPsec-Tools主要命令行工具:
• s e t k e y—利用配置安全策略(S P)为I P s e c连接或手动设置安全关联。
• r a c o o n—I K E守护进程用于I P s e c协商。
• r a c o o n c t l—对r a c o o n的一个管理工具。此文档并不会对它进行测试。
下面列出的二个文件是对I P s e c配置所必需的:
• s e t k e y.c o n f—用于配置s e k e y,存放位置/e t c/r a c o o n。
• r a c o o n.c o n f—用于配置r a c o o n,存放位置/e t c/r a c o o n。验证证书时,用到预共享密钥或
证书目录,r a c o o n.c o n f能够参考p s k.t x t文件。
2.2.1IPsec-Tools配置(f)
根据下面的二部分对f文件进行介绍。同时在传输模式和隧道模式下描述二者配置上的不同。本文档基本基于传输模式,但也有部分为隧道模式。
2.2.1.1 传输模式