Testowanie zabezpieczeń IPSec sieci opartej na TCP/IPv6 (tryb tunelowy i transportowy IPSec) - IPSEC - ZABEZPIECZENIA - ESP - KOMUNIKACJA - SIEĆ - PING - FTP - TRYB - TUNELOWY - TRANSPORTOWY - AG
Mouser Electronics Poland   Przedstawicielstwo Handlowe Paweł Rutkowski   PCBWay  

Energetyka, Automatyka przemysłowa, Elektrotechnika

Dodaj firmę Ogłoszenia Poleć znajomemu Dodaj artykuł Newsletter RSS
strona główna BAZA WIEDZY Testowanie zabezpieczeń IPSec sieci opartej na TCP/IPv6 (tryb tunelowy i transportowy IPSec)
drukuj stronę
poleć znajomemu

Testowanie zabezpieczeń IPSec sieci opartej na TCP/IPv6 (tryb tunelowy i transportowy IPSec)

Wpis jest kontynuacją wpisów dotyczących konfiguracji sieci i protokołu IPSec na routerze Cisco oraz konfiguracji IPSec w systemie Windows. Zawiera opis wykonanych testów pokazujący jakość zabezpieczenia transmisji przed podsłuchem.

5    Transmisja danych

Po skonfigurowaniu ustawień IPSec model został przetestowany poleceniem ping a następnie przeprowadzono wymianę danych w postaci pliku tekstowego między hostami Host1 i Host2. Komunikacją między routerami Router1 i Router2 była monitorowania przy pomocy programu „wireshark” w wersji 1.0.0.

Do wymiany danych posłużył zainstalowany na komputerze Host2 serwer plików ftp obsługujący IPv6.

 Rys. 32.  Panel serwera ftp.


Przesyłany plik był plikiem tekstowym o nazwie „plik.txt”  i danych w postaci kilku linijek tekstu.

Rys. 33.  zawartość pliku tekstowego użytego w badaniach.

Usługa IPSec została skonfigurowana na hostach a nie na routerach z tego wniosek, że mamy do czynienia z trybem transportowym IPSec, w którym nagłówek ESP jest umieszczony za nagłówkiem IP i prze nagłówkiem protokołu warstwy wyższej (np. TCP, UDP).

IPSec definiuje dwa tryby pracy tunelowy i transportowy. W trybie transportowym zabezpieczana jest tylko zawartość pakietów IP, a nagłówek pakietu pozostaje oryginalny. W trybie tunelowym zabezpieczany jest z kolei cały pakiet i dodawany jest nowy nagłówek IP.

Rys. 34.  Tryby pracy IPSec.



5.1    Tryb transportowy IPSec

5.1.1    Komenda PING

Rys. 35.  Odpowiedź węzłów modelu na polecenie ping wydane z hosta Host2.

Przy pomocy programu Wireshark zarejestrowane zostały wymieniane między routerami pakiety IPv6. Polecenie PING zostało wykonane dwukrotnie:

  • Przy włączonej zaporze Windows – usługa IPSec aktywna,
  • Przy wyłączonej zaporze Windows – usługa IPSec nieaktywna.

W związku z transportowym trybem działania usługi oczekujemy, że w obu powyższych sytuacjach możliwe będzie odczytanie treści nagłówka min. adres źródłowy i adres docelowy pakietu. Różnicy spodziewamy się informacji w postaci danych jaka jest zawarta w pakietach. W przypadku wyłączonej zapory podczas przesyłania pliku tekstowego możliwe powinno być odczytanie pełnej treści przesyłanego pakietu. Należy przy tym wspomnieć że, na komputerze monitorującym ruch sieci nie było skonfigurowanej usługi IPSec oraz na hoście tym nie była znana treść klucza wstępnego który posłużył do ustawienia zabezpieczeń komunikacji między hostami Host1 i Host2v. Rezultaty przeprowadzonych badan zostały przedstawione poniżej.

 

Rys. 36.  Pakiety zarejestrowane przy wydaniu komendy PING przy wyłączonych zaporach systemowych.

 

Rys. 37.  Pakiety zaobserwowane przy wykonywaniu komendy PING przy włączonych zabezpieczeniach w postaci szyfrowania danych.

Jak łatwo zauważyć przy transmisji w której dane nie zostały zabezpieczone, programy nasłuchujące ruch sieciowy typu wireshark lub commview w prosty sposób odczytują treść pakietów w przypadku polecenia ping treścią jest ciąg znaków „abcdefghijklmno…”. Sytuację tą obserwujemy na rys. 35. Po wybraniu pozycji „data” w treści komunikatu została wyróżniona część pakietu reprezentująca dane, jest ona przetłumaczona na język odbiorcy z prawej strony.

W sytuacji gdzie zabezpieczenia w postaci szyfrowania danych zostały uaktywnione, ciężko jest wyselekcjonować z pełnego listingu części ruchu odpowiadająca wymianie pakietów przy wykonywaniu polecenia PING. Nie jest również możliwe odczytanie ich treści, co zostało zobrazowane na rys. 36.

REKLAMA

Otrzymuj wiadomości z rynku elektrotechniki i informacje o nowościach produktowych bezpośrednio na swój adres e-mail.

Zapisz się
Administratorem danych osobowych jest Media Pakiet Sp. z o.o. z siedzibą w Białymstoku, adres: 15-617 Białystok ul. Nowosielska 50, @: biuro@elektroonline.pl. W Polityce Prywatności Administrator informuje o celu, okresie i podstawach prawnych przetwarzania danych osobowych, a także o prawach jakie przysługują osobom, których przetwarzane dane osobowe dotyczą, podmiotom którym Administrator może powierzyć do przetwarzania dane osobowe, oraz o zasadach zautomatyzowanego przetwarzania danych osobowych.
Komentarze (0)
Dodaj komentarz:  
Twój pseudonim: Zaloguj
Twój komentarz:
dodaj komentarz

REKLAMA
REKLAMA
REKLAMA
REKLAMA
FIZYKA FIZYKA Grupa w której poruszane są tematy związane z fizyką, zagadnienia, ciekawostki, zadania itp.
KOŁA SEP KOŁA SEP Studenckie, pracownicze czy inne - wszystkie koła związane z działalnością Stowarzyszenia ...
Łącza Radiowe i Bezprzewodowe Łącza Radiowe i ... Łącza radiowe punkt-punkt, punkt-wielopunkt, Sieci dostępowe WiFi, Stacje Bazowe telefonij ...
Oświetlenie LED Oświetlenie LED Grupa zajmująca się tematami związanymi z technologią LED.
REKLAMA
Nasze serwisy:
elektrykapradnietyka.com
przegladelektryczny.pl
rynekelektroniki.pl
automatykairobotyka.pl
budowainfo.pl