GIAO THỨC AN TOÀN MẠNG

Bài 3: Triển khai giao thức IPSec

Giảng viên hướng dẫn: TS.Trần Thị Lượng

Sinh viên thực hiện: Nguyễn Thị Lan

Mã SV: AT140221

STT: 42
Mô hình mạng:

Client Server
OS: Ubuntu OS: Ubuntu
IP: 10.4.42.102 IP: 10.4.42.2
Domain name: client.nguyenthilan.class4 Domain name: server.nguyenthilan.class4

Nội dung:
1. Thiết lập hệ thống
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
1. Thiết lập hệ thống
Address Netmask Gateway
Ip client
10.4.42.102 255.255.255.0 10.4.0.2

Address Netmask Gateway Ip server

10.4.42.2 255.255.255.0 10.4.0.2

Đặt hostname cho client và server

1. Thiết lập hệ thống
Chỉnh sửa file hosts và đặt domain
name trên client và server
1. Thiết lập hệ thống
Tiến hành cài đặt Racoon trên client và server:
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
Cấu hình ipsec-tools trên client và server

Client Server
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
Cấu hình Racoon trên client và server:
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
Cấu hình file psk.txt trên client và server:

client Server
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
Khởi động lại racoon và setkey:

Từ client thực hiện ping đến server:

2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH
Bắt gói tin ICMP bằng Wireshark:

- Protocol: AH(51)
- Source address: IP nguồn
- Destination address: IP đích
- Next header : gói tin ICMP -> chế độ
Transport(1Byte)
- Length: 4 (1Byte)-> chiều dài thông
điệp
- Reserved: 0000 -> không được sử
dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi bản ghi
trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn vẹn,
xác thực của gói tin(12Byte)
2. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và AH

- Protocol: AH(51)
- Source address: IP nguồn
- Destination address: IP đích
- Next header : gói tin ICMP -> chế độ
Transport(1Byte)
- Length: 4 (1Byte)-> chiều dài thông
điệp
- Reserved: 0000 -> không được sử
dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi bản ghi
trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn vẹn,
xác thực của gói tin(12Byte)
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP
Cấu hình ipsec-tools trên client và server

client Server
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP
Khởi động lại racoon và setkey:

Từ client thực hiện ping đến server:

3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP
Bắt gói tin ESP bằng Wireshark:
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP

- Protocol: ESP(50)
- Source address: IP nguồn
- Destination address: IP đích
- SPI: Chỉ số duy nhất của mỗi bản
ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn
vẹn, xác thực của gói tin
3. Thiết lâ ̣p hê ̣ thống dùng IPSEC Transport và ESP

- Protocol: ESP(50)
- Source address: IP nguồn
- Destination address: IP đích
- SPI: Chỉ số duy nhất của mỗi bản
ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn
vẹn, xác thực của gói tin
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
Cấu hình ipsec-tools trên client và server
Ip client: 10.4.42.101
IP server: 10.4.42.1

client Server
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
Khởi động lại racoon và setkey:

Từ client thực hiện ping đến server:

4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
Bắt gói tin ICMP bằng Wireshark:

- Protocol: AH(51)
- Source address: IP nguồn
- Destination address: IP đích
- Next header : IPIP(4) -> chế độ
Tunnel(1Byte)
- Length: 4 (1Byte)-> chiều dài thông
điệp
- Reserved: 0000 -> không được sử
dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi bản ghi
trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn vẹn,
xác thực của gói tin(12Byte)
4. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và AH
Bắt gói tin ICMP bằng Wireshark:

- Protocol: AH(51)
- Source address: IP nguồn
- Destination address: IP đích
- Next header : IPIP(4) -> chế độ
Tunnel(1Byte)
- Length: 4 (1Byte)-> chiều dài thông
điệp
- Reserved: 0000 -> không được sử
dụng(2Byte)
- SPI: Chỉ số duy nhất của mỗi bản ghi
trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn vẹn,
xác thực của gói tin(12Byte)
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
Cấu hình ipsec-tools trên client và server

client Server
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
Khởi động lại racoon và setkey:

Từ client thực hiện ping đến server:

5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP
Bắt gói tin ICMP bằng Wireshark:

- Protocol: ESP(50)
- Source address: IP nguồn
- Destination address: IP đích
- SPI: Chỉ số duy nhất của mỗi bản
ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn
vẹn, xác thực của gói tin
5. Thiết lâ ̣p hê ̣ thống dùng IPSEC Tunnel và ESP

- Protocol: ESP(50)
- Source address: IP nguồn
- Destination address: IP đích
- SPI: Chỉ số duy nhất của mỗi bản
ghi trong CSDL(4Byte)
- Sequence: Số tuần tự của gói
tin(4Byte)
- ICV= Giá trị đảm bảo tính toàn
vẹn, xác thực của gói tin