SWAN之ikev2协议esp-alg-md5-128配置测试

IPSecurity 专栏收录该内容
89 篇文章 4 订阅

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=3des-md5_128!,而采用ESP套件:DES_CBC / HMAC_MD5_128的过程。本次测试拓扑如下:
在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/esp-alg-md5-128/hosts/carol/etc/ipsec.conf,内容如下,IKE使用3des-md5-modp1024加密套件。ESP使用3des-md5_128套件,不进行DH协商。

config setup

conn %default
        ike=3des-md5-modp1024!
        esp=3des-md5_128!

conn home
        left=PH_IP_CAROL
        leftfirewall=yes
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add 

网关moon的配置文件:ikev2/esp-alg-md5-128/hosts/moon/etc/ipsec.conf以及strongswan.conf配置文件,内容与以上carol主机的配置类似,不在列出。

测试准备阶段

配置文件:ikev2/esp-alg-md5-128/pretest.dat,内容为通常的ipsec连接的启动语句。

测试阶段

配置文件:ikev2/esp-alg-md5-128/evaltest.dat内容如下。在确认moon网关和carol主机上连接建立之后,主机carol执行ping主机alice的命令,测试连通性,测试数据使用字符串deadbeef,在之后的tcpdump抓包中将在此看到此内容。

carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES
moon:: ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
carol::ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
moon:: ip xfrm state::auth-trunc hmac(md5)::YES
carol::ip xfrm state::auth-trunc hmac(md5)::YES

在moon网关和carol主机上查看ipsec statusall和ip xfrm state命令的执行结果,检查strongswan进程和内核中的连接信息。以下为moon网关上ipsec statusall的输出。可见其中的子连接rw{1}中的字符串:3DES_CBC/HMAC_MD5_128。

Connections:
          rw:  192.168.0.1...%any  IKEv2
          rw:   local:  [moon.strongswan.org] uses public key authentication
          rw:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
          rw:   remote: uses public key authentication
          rw:   child:  10.1.0.0/16 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
          rw[1]: ESTABLISHED 1 second ago, 192.168.0.1[moon.strongswan.org]...192.168.0.100[carol@strongswan.org]
          rw[1]: IKEv2 SPIs: ef0548c21ad25773_i 1380490623c5f127_r*, public key reauthentication in 54 minutes
          rw[1]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
          rw{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c9d57751_i c9c5959c_o
          rw{1}:  3DES_CBC/HMAC_MD5_128, 148 bytes_i (1 pkt, 0s ago), 148 bytes_o (1 pkt, 0s ago), rekeying in 14 minutes
          rw{1}:   10.1.0.0/16 === 192.168.0.100/32

以下为ip xfrm state的输出内容。可见认证采用的MD5-128bits,加密使用3DES-192bits。

src 192.168.0.1 dst 192.168.0.100
        proto esp spi 0xc9c5959c(3385169308) reqid 1(0x00000001) mode tunnel
        replay-window 0 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(md5) 0x384c606cc56eacb172cd08faba262551 (128 bits) 128
        enc cbc(des3_ede) 0x8528b5ad9e1a06b702f8a62d226c08be70372711d1f8c276 (192 bits)
src 192.168.0.100 dst 192.168.0.1
        proto esp spi 0xc9d57751(3386210129) reqid 1(0x00000001) mode tunnel
        replay-window 32 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(md5) 0xe9bf6b33fd0e203d273d5bc8ddbe354e (128 bits) 128
        enc cbc(des3_ede) 0xead74cba486acc5972f2d1aea4fc56c0dcb797e484861ba1 (192 bits)

以下为carol主机和moon网关协商的proposal。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值