SWAN之ikev2协议esp-alg-sha1-160配置测试

IPSecurity 专栏收录该内容
89 篇文章 4 订阅

本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=naes128-sha1_160!,而采用ESP套件:AES_CBC_128 / HMAC_SHA1_160的过程。本次测试拓扑如下:
在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/esp-alg-sha1-160/hosts/carol/etc/ipsec.conf,内容如下,IKE使用aes128-sha1-modp2048!加密套件。ESP使用aes128-sha1_160!套件,不进行DH组协商。

config setup

conn %default
        ike=aes128-sha1-modp2048!
        esp=aes128-sha1_160!

conn home
        left=PH_IP_CAROL
        leftfirewall=yes
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add 

网关moon的配置文件:ikev2/esp-alg-sha1-160/hosts/moon/etc/ipsec.conf以及strongswan.conf配置文件,内容与以上carol主机的配置类似,不在列出。

测试准备阶段

配置文件:ikev2/esp-alg-sha1-160/pretest.dat,内容为通常的ipsec连接的启动语句。

测试阶段

配置文件:ikev2/esp-alg-sha1-160/evaltest.dat内容如下。在确认moon网关和carol主机上连接(rw/home)建立之后,主机carol执行ping主机alice的命令,测试连通性,测试数据使用字符串deadbeef,在之后的tcpdump抓包中将在此看到此内容。

moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES
moon:: ipsec statusall 2> /dev/null::AES_CBC_128/HMAC_SHA1_160::YES
carol::ipsec statusall 2> /dev/null::AES_CBC_128/HMAC_SHA1_160::YES
moon:: ip xfrm state::auth-trunc hmac(sha1)::YES
carol::ip xfrm state::auth-trunc hmac(sha1)::YES

在moon网关和carol主机上查看ipsec statusall和ip xfrm state命令的执行结果,检查strongswan进程和内核中的连接信息。以下为moon网关上ipsec statusall的输出。可见其中的子连接rw{1}中的字符串:AES_CBC_128/HMAC_SHA1_160。

Connections:
          rw:  192.168.0.1...%any  IKEv2
          rw:   local:  [moon.strongswan.org] uses public key authentication
          rw:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
          rw:   remote: uses public key authentication
          rw:   child:  10.1.0.0/16 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
          rw[1]: ESTABLISHED 2 seconds ago, 192.168.0.1[moon.strongswan.org]...192.168.0.100[carol@strongswan.org]
          rw[1]: IKEv2 SPIs: 22d4f59b7df77ac6_i f215d71589366008_r*, public key reauthentication in 56 minutes
          rw[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
          rw{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c35e4c79_i c2827b2f_o
          rw{1}:  AES_CBC_128/HMAC_SHA1_160, 148 bytes_i (1 pkt, 1s ago), 148 bytes_o (1 pkt, 1s ago), rekeying in 14 minutes
          rw{1}:   10.1.0.0/16 === 192.168.0.100/32

以下为ip xfrm state的输出内容。可见认证采用的sha1-160bits,加密处理采用aes-128bits。

src 192.168.0.1 dst 192.168.0.100
        proto esp spi 0xc2827b2f(3263331119) reqid 1(0x00000001) mode tunnel
        replay-window 0 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(sha1) 0x877522c30a2310b837ce3e407ac63e732234d8f4 (160 bits) 160
        enc cbc(aes) 0x065cbe207705620556feb532ff8fc97c (128 bits)
src 192.168.0.100 dst 192.168.0.1
        proto esp spi 0xc35e4c79(3277737081) reqid 1(0x00000001) mode tunnel
        replay-window 32 seq 0x00000000 flag af-unspec (0x00100000)
        auth-trunc hmac(sha1) 0xfffb701b0e02dd853fb3a68893b9fca12b0a810e (160 bits) 160
        enc cbc(aes) 0x18772c1242b2ac2a36e0d7d29ec38465 (128 bits)

以下为carol主机和moon网关协商的proposal。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值