您好,欢迎访问三七文档
甘肃政法学院本科生实验报告(四)姓名:学院:公安技术学院专业:班级:实验课程名称:信息安全概论实验日期:2015年6月23日指导教师及职称:实验成绩:开课时间:2014~2015学年第二学期甘肃政法学院实验管理中心印制实验题目Windows下PPTPVPN实验Windows下IPSecVPN实验Windows下SSLVPN实验小组合作否姓名班级学号一.实验目的1.配置和使用Win2003下主机到网络的PPTPVPN分组进行Win2003下网关到网关的PPTPVPN的配置和使用验证PPTPVPN的加密特性2.针对上述两个实验环境,分别进行如下实验:创建IPSec策略;定义IPSec筛选器列表(filterlist);配置IPSec筛选器操作(FilterAction);配置身份验证方法。3.配置SSLVPN服务端配置客户端进行连接二.实验环境实验使用本地主机和Windows实验台进行VPN的搭建和配置。主机到网络的PPTPVPN的网络拓扑如图3.3.1-1所示;其中本地主机IP为172.22.1.X/16,Windows实验台配置为双网卡模式,作为VPN服务器使用,两块网卡的IP分别为172.20.3.X/16和172.22.3.X/16。VPN服务器(Windows实验台)172.20.0.0/16加密隧道客户端内网服务172.20.3.X/16172.22.3.X/16172.22.1.X/16图3.3.1-1主机到网络的PPTPVPN网络拓扑网络到网络的PPTPVPN的网络拓扑如图3.3.1-2所示;该部分实验以两人一组(A、B)的形式进行;其中主机A的本地IP为172.20.1.X/16,所用的Windows实验台A的两个IP分别为172.20.3.X/16和172.22.3.X/16;主机B的本地IP为172.21.1.Y/16,所用的Windows实验台B的两个(内外网)IP分别为172.21.3.Y/16和172.22.3.Y/16。加密隧道Windows实验台AWindows实验台B172.20.1.X/16172.21.1.Y/16172.22.3.X/16172.22.3.Y/16主机A主机B172.20.3.X/16172.21.3.Y/16图3.3.1-2网络到网络的PPTPVPN网络拓扑Windows下SSLVPN的网络拓扑如图3.3.3-1所示,其中:客户端:本地主机(WindowsXP),IP地址172.22.1.X服务端:Windows实验台VPN服务器,IP地址:172.22.X.X/16,内网IP为172.20.X.X/16三、实验内容与步骤Windows下PPTPVPN实验点对点隧道协议(PPTP,Point-to-PointTunnelingProtocol)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过MicrosoftWindowsNT工作站、Windows95和Windows98操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过Internet安全链接到公司网络。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分,那么即可通过该IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。PPTP只能通过PAC和PNS来实施,其它系统没有必要知道PPTP。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。PPTP使用GRE的扩展版本来传输用户PPP包。这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP没有规定特定的算法用于低层控制,但它确实定义了一些通信参数来支持这样的算法工作。PPTP控制连接数据包包括一个IP报头、一个TCP报头和PPTP控制信息。Windows下IPSecVPN实验IPSec实际上是一套协议包而不是单个的协议,IPSec是在IP网络上保证安全通信的开放标准框架,它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409IKE(InternetKeyExchange)互连网密钥交换、RFC2401IPSec协议、RFC2402AH(AuthenticationHeader)验证包头、RFC2406ESP(EncapsulatingSecurityPayload)加密数据等协议。IPSec独立于密码学算法,这使得不同的用户群可以选择不同一套安全算法。IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用,也可以配合使用,通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和安全联盟SA(SecurityAssociation)等部分。IKE在通信双方之间建立安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA中,供AH和ESP通信时使用。Windows下SSLVPN实验OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、MacOSX与Windows2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPSec及其它VPN软件包兼容。一、加密OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。二、验证OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时它只能用于建立点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密。三、网络OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。IANA(InternetAssignedNumbersAuthority)指定给OpenVPN的官方端口为1194。OpenVPN2.0以后版本每个进程可以同时管理数个并发的隧道。OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPSec等协议的理想替代,尤其是在ISP(Internetserviceprovider)过滤某些特定VPN协议的情况下。在选择协议时,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。四、实验过程与分析【实验步骤】一、主机到网络的PPTPVPN的配置与使用(一)网络环境配置根据原本地IP确定X的值,按照实验拓扑(图3.3.1-1)修改本地IP地址并对Windows实验台的IP进行相应配置。(二)安装和配置VPN服务在Windows2003中PPTPVPN服务称之为“路由和远程访问”,默认状态为已安装,只需对此服务进行必要的配置并使其生效。(1)启动Windows实验台,进入系统,依次选择“开始-设置-控制面板-管理工具-路由和远程访问”,进入“路由和远程访问”服务的窗口;在右侧窗口右击计算机名,选择“配置并启用路由和远程访问”,如图3.3.1-3所示。图3.3.1-3开始配置并启用路由和远程访问(2)进入配置向导窗体后点击下一步,进行服务选择:标准的VPN标准VPN配置需要两块网卡,如果服务器有两块网卡,则可有针对性的选择第一项或第三项,如果服务器只有一块网卡,只能选择“自定义配置”;本实验中Windows实验台设置为两块网卡,此处选择第一项“远程访问(拨号或VPN)”,如图3.3.1-4所示。图3.3.1-4服务选择(3)点击下一步,进入远程访问窗体,勾选VPN和拨号,如图3.3.1-5所示。图3.3.1-5远程访问(4)点击下一步,进入VPN连接窗体,选定服务器连接到Internet的网络接口,如图3.3.1-6所示。图3.3.1-6VPN连接(5)点击下一步,进入IP地址指定窗体,有自动和指定地址范围两项,此处选择指定地址范围,如图3.3.1-7所示。图3.3.1-7IP地址指定(6)点击下一步,进入地址范围指定窗体,点击新建,进入IP地址编辑窗体,进行IP地址范围设定,如图3.3.1-8所示;设定完成后点击确定,返回地址指定窗体,如图3.3.1-9所示。图3.3.1-8新建地址范围图3.3.1-9地址范围指定(7)点击下一步,进入管理多个远程访问服务器窗体,选择“否,使用路由和远程访问来对连接请求进行身份验证”。(8)点击下一步,进入完成窗体,点击完成。可以看到PPTPVPN服务配置完成后,服务处于启动状态,如图3.3.1-10所示。图3.3.1-10服务启动下面设置用于远程连接VPN的用户名和密码,也可以使用已有账户进行连接。(9)右击我的电脑,选择管理,打开计算机管理窗体,点击左侧窗体的“本地用户和组”,右击用户,选择新用户,进入新建用户窗体,输入用户名密码,设置为密码永不过期,点击创建,如图3.3.1-11所示。图3.3.1-11新建用户(10)在右侧窗体中右击新建的用户vpn,选择属性,进入属性设置窗体,选择拨号选项卡,分配用户远程接入权限,并可设定该用户拨入后所使用的IP地址(需在指定的地址范围内),如图3.3.1-12所示。图3.3.1-12设置远程接入权限(三)本地主机配置(1)打开命令窗口,ping172.20.3.X,结果如图3.3.1-13所示。图3.3.1-13配置前ping内网IP(2)右击网上邻居,选择属性,双击新建连接向导打开向导窗体。(3)点击下一步,在“网络连接类型”中选择第二项“连接到我的工作场所的网络”。(4)点击下一步,在网络连接窗口中选择第二项“虚拟专用网络连接”;(5)点击下一步,为该连接命名,此处为ises。(6)点击下一步,进入VPN服务器选择,输入服务器的主机名称或IP地址,此处输入IP地址,如图3.3.1-14所示。图3.3.1-14VPN服务器选择(7)点击下一步进入完成窗体,勾选创建桌面快捷方式,点击完成,出现连接窗体。(8)在连接窗体中输入刚刚创建或指定的用户名密码,勾选为下列用户保存用户名和密码,选择只是我,点击连接,如图3.3.1-15所示。图3.3.1-15连接VPN(9)连接成功后,桌面右下角会有相应提示;同
本文标题:信息安全实验4
链接地址:https://www.777doc.com/doc-1253111 .html