H3C IPSec을 PSK 공격적인 모드 구성

H3C IPSec을 PSK 공격적인 모드 구성

목표 : IPSec을 VPN을 구성 스위치 (NAT 통과)의 IPSec VPN (상세 버전)을 설정하고 공용 네트워크를 CentOS
---------------------------- -------------------------------------------------- -----------------------------
1 단계 : 구성 CentOS의 서버는
[루트를 myzdl @ ~] # yum을 strongswan -Y에 대한 설치
[루트를 @myzdl ~] # 정력 /etc/strongswan/ipsec.conf # 프로필

config setup
       # strictcrlpolicy=yes
       # uniqueids = no
conn peer-h3c-switch   #将以下代码加入配置文件中
     leftid=@centos
    leftsubnet=172.19.19.0/24,172.20.20.0/24     #centons端内网网段
     right=%any
     rightid=@h3c
    rightsubnet=192.168.30.0/24,192.168.40.0/24    #h3c端内网网段
    
    aggressive=yes
    ike=3des-md5-modp2048     #第一阶段的验证md5加密3des、DH算法modp2048位
    esp=3des-sha1    #第二阶段数据封装加密认证算法
    authby=secret
    auto=start

[루트 @ myzdl ~] # 고양이 /etc/strongswan/strongswan.conf

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
load_modular = yes
      i_dont_care_about_security_and_use_aggressive_mode_psk = yes   #加入允许野蛮模式的psk验证
plugins { 
include strongswan.d/charon/*.conf
}
}

include strongswan.d/*.conf

[루트 @ myzdl ~] #의 정력 /etc/strongswan/ipsec.secrets // 공유 키

# ipsec.secrets - strongSwan IPsec secrets file
@centos  @h3c : PSK  "ipsec123456"

[루트 @ myzdl ~] # 개의 systemctl 시작 strongswan는
---------------------------------------- ------------------------------------------------ 서버 구성 완전한

단계 2 : 구성 H3C 스위치 (또는 라우터)
2.1 IKE는 첫 번째 단계의 주요 구성 공유
ipsec123456 [H3C] IKE 체인 PSK # 공유 키라고 PSK 만들기
[H3C 이케 - 체인-PSK]을 미리 공유를 간단한 키 ipsec123456 주소 106.13.6.31 -key
[H3C-IKE-키 체인-PSK]를 종료

본체 안전 제안 2.2 구성 IKE 피어 (1 개 단계 파라미터 : 목적지 어드레스 협상 모드 공유 키 등)
[H3C] IKE 제안 1 #하여 만드는 IKE 협상
[H3C 이케 제안으로-1 ] 인증 방법 사전 공유 공유 키로서 지정 # IKE 인증 방법
[H3C 이케 제안으로-1 ] IKE 3DES 용 ID 암호 알고리즘 암호화 알고리즘 3DES-CBC #
[H3C 이케 제안으로-1 ] # 인증 지정된 알고리즘 MD5 IKE 인증 알고리즘 MD5
[H3C-IKE 제안으로-1] # DH group14 modp2048

[H3C] IKE 프로파일 파일 #IKE 협상 구성 파일
[H3C 이케 프로파일 파일 ] 제안 1 # 귀속 IKE 협상 호
[H3C 이케 프로파일 파일 ] 교환 모드 공격적인 # 공격적인 모드
[H3C-ike- 프로파일 파일] 체인 PSK # 공유 키, 지정된 위치 (이전에 생성)
[H3C 이케 프로파일 파일] 원격 신원 검색이 원격 주소 106.13.6.31 # 피어 어드레스 지정
[H3C 이케 프로파일 파일 ] 원격 신원의 FQDN에 CentOS는 # 원격 피어의 ID 정보의 ID를 지정 일치
[H3C 이케 프로파일 파일 ] 로컬 신원의 FQDN H3C 번호를 로컬 피어의 ID 정보의 ID를 지정
[H3C 이케 프로파일 파일 ] 종료

두 번째 단계의 2.3 보안 구성 제안 매개 변수 (모드 캡슐, 캡슐화 프로토콜 암호화 알고리즘 및 인증)
[H3C] IPSec을 변환 - 세트 제안 #이 보안 IPSec을 제안이라고 제안 만들기
[H3C IPSec을 변환 - 세트 -proposal] 캡슐화 -mode 터널 # 밀봉 모드가 터널 모드
[H3C IPSec을 변환 설정된 -proposal] 프로토콜 ESP # 캡슐화 프로토콜은 ESP 사용
[H3C IPSec을 변환 - SET-제안] 인증 알고리즘 ESP 인증 알고리즘 SHA1 번호 캡슐화 프로토콜
[ H3C는 IPSec을 변환 - 세트 - 제안] ESP 암호화 알고리즘 암호화 알고리즘 3DES-CBC # / 캡슐화 프로토콜
[H3C IPSec을 변환 세트 -proposal]를 종료

ACL 구성 2.4 상담이자 드리프트 세그먼트의 두 번째 단계 만들기
[H3C] ACL 번호 3000
소스 5 0.0.0.255 IP 허가에 [H3C-ACL-의 IPv4-ADV-3000] 규칙은 어디에서 192.168.30.0 172.19.19.0 0.0.0.255 싶어
[H3C를 IPv4의 --- ADV - ACL 3000] 소스 IP 규칙 10 허가 당신이 원하는 않는 192.168.30.0 0.0.0.255 172.20.20.0 0.0.0.255
[H3C-의 IPv4 ACL-ADV-3000] (15) 당신이 원하는 수행 허가 규칙 소스 IP 192.168.40.0 0.0.0.255 0.0.0.255 172.19.19.0는
[H3C-의 IPv4 ACL-ADV-3000] (20) 어디 172.20.20.0이 0.0.0.255할까요 허가 규칙 소스 IP 192.168.40.0 0.0.0.255입니다
[H3C-의 IPv4 ACL-ADV-3000] 종료

2.5创建의 IPSec策略综合协商参数:
[H3C] IPSec 정책 1 ISAKMP IPSEC
[H3C-IPsec으로 정책 ISAKMP IPSec을 1] IKE 프로파일 파일
[H3C-IPsec으로 정책 ISAKMP IPSec을 1] 변환 세트 제안
[H3C-IPsec으로 정책 ISAKMP IPSec을 1] 3000 보안 ACL
[H3C-IPsec으로 정책 ISAKMP IPSec을 1] 원격 주소 106.13.6.31
[H3C-IPsec으로 정책 ISAKMP IPSec을 1] 종료

2.6 짝짓기 인터페이스 구성 좋은 전략 :
. VLAN 인터페이스의 [H3C] 인터페이스 1
[H3C-의 VLAN - 인터페이스 1] IPSec 정책 IPSec 정책 인터페이스 바인딩 # 적용
[VLAN - 인터페이스 1은 H3C-의] 종료를
-------- -------------------------------------------------- ---------------------------------
3 단계 : 너무 공격적 모드 스위치가 발의 때문에 VPN 확립
[H3C을 ] -a 192.168.30.254 핑 172.19.19.19
192.168.30.254으로부터 172.19.19.19 핑 (172.19.19.19) 56 데이터 바이트된다 BREAK 눌러 CTRL_C에
요청 타임 아웃은
172.19.19.19가 56 바이트에서 :. = 1 icmp_seq의 TTL = 시간 = 64 MS 12.328
TTL = 2 = 64 시간 = 13.255 MS icmp_seq 56은 172.19.19.19 바이트
= 64 3 TTL = 시간 = 15.459 MS icmp_seq 56으로부터 172.19.19.19 바이트 인
56으로부터 172.19.19.19 바이트 : icmp_seq = 64. 4 TTL = 시차 = 10.924 MS

- 172.19.19.19 핑 통계 -
5 패킷 (들) (4), 패킷 (들)을 수신, 20.0 % 패킷 손실 송신
왕복 최소 / 평균 / 최대 / STD-DEV = 10.924 / 12.992 / 15.459 / 1.649 밀리

[H3C] 사행 IKE 디스플레이
연결-ID 플래그 원격 DOI
-------------------------------------- ------------------------------
14 개 106.13.6.31 RD의 IPsec
플래그 :
RD-READY RL 대체되지 FD 페이딩 RK-리키

[H3C] 디스플레이의 IPSec SA
-------------------------------------------- ----------------------
인터페이스 : VLAN - 인터페이스 1
----------------------- -------------------------------------------

-------------------------------------------------- ---------------
IPsec 정책 : IPSec을
순서 번호 : 1
모드 : ISAKMP
------------------------ ----------------------------------------
터널 ID : 0
캡슐화 모드 : 터널
전달 완전 비밀 :
내부 VPN은 :
확장 된 시퀀스 번호는 사용 가능 : N
교통 흐름 기밀성 활성화 : N의
경로 MTU를 : 1,436
터널 :
로컬 주소를 : 192.168.1.252
원격 주소 : 106.13.6.31
흐름 :
신 주소 : 192.168.30.0/255.255.255.0 포트 : 0 프로토콜 : IP
의 최종 도착 주소 : 172.19.19.0/255.255.255.0 포트 : 0 프로토콜 : IP

[인바운드 ESP SA를]
SPI : 1391345111 (0x52ee3dd7)
접속 ID : 124,554,051,588
변환 설정 : ESP 암호화 할-3DES-CBC ESP-AUTH-SHA1
SA 기간 (킬로바이트 / 초) 3,600분의 1,843,200
SA 잔여 기간 (킬로바이트 / 초) : 3,583분의 1,843,199
최대 시퀀스 번호를 수신 : 4
재생 방지 체크 활성화 : Y
안티 리플레이 창 크기 : 64
NAT 트래버 사용 UDP 캡슐화 : Y의
상태 :

[출국 ESP SA를]
SPI : 3472567373 (0xcefb2c4d)
접속 ID : 124,554,051,589
설정 변형 : ESP 암호화 할-3DES-CBC ESP-AUTH-SHA1
3,600분의 1,843,200 : SA 기간 (킬로바이트 / 초)
SA 잔여 기간 (킬로바이트 / 초) : 3,583분의 1,843,199
4 : 최대 시퀀스 넘버 전송
NAT 트래버 사용 UDP 캡슐화 : Y의
상태 : 활동

-------------------------------------------------- ----------------
[루트 @ myzdl ~] # 개의 strongswan 상태
보안 연결 (1 개까지, 0 연결) :
피어 H3C 스위치 [2] 69 초 전 설립, 172.16 .0.4 [CentOS는] ... 183.17.63.227 [H3C]
피어 H3C 스위치 {1} 설치된 터널, ESP UDP의 SPI에 1 REQID : cefb2c4d_i 52ee3dd7_o의
피어 H3C-스위치 {1} = 172.19.19.0/24 == 192.168.30.0/24