Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:vpn [2014/02/04 09:28] – richard
+++ lager:oeff_netze:vpn [2025/11/19 16:15] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-====== VPN-Laborübung ======
+~~DISCUSSION:closed|Ergänzungen~~
+====== VPN-Laborübung Einführung ======
-Diese Seite lässt sich als PDF((s. Symbol neben Suche oben)) und als OpenOffice-Dokument((s. Symbol rechts oben)) herunterladen. Nutzen Sie das OpenOffice-Dokument, um Ihre Ergebnisse festzuhalten.
+Diese Seite lässt sich als PDF((s. Symbol rechts)) und als OpenOffice-Dokument((s. Symbol rechts)) herunterladen. Nutzen Sie das OpenOffice-Dokument, um Ihre Ergebnisse festzuhalten.
 ===== Allgemeine Hinweise für die Durchführung unter Linux =====
@@ Zeile 64: / Zeile 65: @@
 ===== Manuell verschlüsselte Verbindungen setkey=====
-Mittels ''setkey'' lassen sich manuell verschlüsselte Verbindungen konfigurieren und aufbauen.
+Mittels ''setkey'' lassen sich manuell verschlüsselte Verbindungen konfigurieren. ''setkey'' selbst baut dabei nicht die Verbindung auf, sondern dient lediglich zur Verwaltung der Verbindungen, die in den unterschiedlichen Datenbanken (s.u. Tabelle) hinterlegt werden.
-''setkey'' verwalten die Verbindungen, die den unterschiedlichen Datenbanken (s.u. Tabelle) hinterlegt werden.
+Die Verbindungen werden bei Bedarf, also sobald ein Paket die Kriterien erfüllt, durch den IP-Protokollstack aufgebaut.
 Folgende Begriffe werden dabei verwendet:
@@ Zeile 82: / Zeile 84: @@
   - Gateway auf den Endteilnehmern eintragen
   - Starten der Verbindung (s. [[vpn#setkey-Aufrufparameter | setkey-Aufrufparameter]])
-  - Überprüfen der Verdingung mittels ''ping'' und Mitschnitt mit ''wireshark'' an geeigneter Stelle.
+  - Überprüfen der Verbindung mittels ''ping'' und Mitschnitt mit ''wireshark'' an geeigneter Stelle.
 ==== setkey-Konfiguration ====
@@ Zeile 146: / Zeile 148: @@
 ==== setkey-Aufrufparameter ====
-Der Befehl ''setkey'' benötigt administrative Rechte, daher muss entweder ''sudo'' vorangestellt werden.
+Der Befehl ''setkey'' benötigt administrative Rechte, daher muss ''sudo'' vorangestellt werden.
 ^ Parameter ^ Steht für  ^ Erklärung ^
@@ Zeile 166: / Zeile 168: @@
 Das Tool ''racoon'' startet auf Anfrage eine IPsec-Verbindung mittels IKE. ''racoon'' benötigt zunächst eine ''racoon''-eigene Konfigurationsdatei in der die Eckdaten für die **"Phase 1: IKE-SAs"** ((Phase 1: Aufbau eines verschlüsselten Konfigurationskanals)) als ''proposal'' angelegt und im zweiten Teil die eigentlichen **"Phase 2: Nutzdaten-SAs"** ((Phase 2: Aushandlung der Nutzdaten-SAs)).
 Da ''racoon'' nicht selbstständig den VPN-Tunnel etabliert, müssen noch die entsprechende Policies angelegt werden (s. [[vpn#setkey-Policies | setkey-Policies einrichten ]]). Dies geschieht wie bereits bei dem statischen Aufbau mittels ''setkey''.
+**ACHTUNG: ''racoon'' aktzeptiert nur sichere psk-Dateien, die bedeutet nur ''root'' darf diese Datei lesen/schreiben und ''root'' muss der Owner sein! Da ''keinpasswort'' keine Rechte hat eine solche Datei zu erstellen, muss für die Gateway-Rechner auf eine VMs ausgewichen werden. Dort hat der User die nötigen Rechte.**
@@ Zeile 209: / Zeile 213: @@
 </file>
+Die PSK-Datei enthält den gemeinsamen Key für die Verbindung. Es muss jeweils die IP-Adresse der Gegenstelle eingetragen werden.
 Beispiel einer psk.txt:
 <file c psk.txt>
 .0.0.2     gemeinsamerkey
 </file>
+Diese Datei muss mit den folgenden Befehlen für ''racoon'' vorbereitet werden.
+<code>
+chown root psk.txt
+chgrp root psk.txt
+chmode 0600 psk.txt
+</code>
 Damit ''racoon'' vom Linux-Kernel angestoßen werden kann, werden noch entsprechende Policies benötigt. Diese können über ''setkey'' eingerichtet werden. Die einzelnen Parameter sind [[vpn#setkey-Policies | hier]] erklärt. Hier eine Beispiel-Datei
@@ Zeile 248: / Zeile 260: @@
+===== Entschlüsselung einer ESP-Verbindung =====
+Die folgende Abbildung zeigt die notwendigen Einstellungen zur Entschlüsselung einer ESP gesicherten Verbindung.
+{{:lager:oeff_netze:bilder:vpn_esp_decrypt.png | Entschlüsselung mit Wireshark }}
+====== Beispiel-Capture für Wireshark ======
+Die folgende Datei enthält zwei einfache Beispiel-Capture Dateien, die einmal eine nur ''AH''-gesicherte Verbindung zeigt und einmal eine ''ESP''-gesicherte Verbindung zeigt.
+Beide Verbindungen sind End-to-End und im Transport-Modus. D.h. die eigentlichen Kommunikationspartner sind erkennbar und nicht verschlüsselt.
+**{{ :lager:oeff_netze:vpn_capture.zip |DOWNLOAD CAPTURE}}**
+Hinweis: Bei der ''ESP''-Verbindung wurde der Schlüssel aus den obigen Beispiel-Dateien verwendet. Wie im vorangegangen Abschnitt gezeigt kann man diese Datenstrom also entschlüsseln.
+===== Parameter ab Wireshark 2.0 =====
+Bearbeiten -> Einstellungen -> Protocols -> ESP
+Unter ''Encapsulating Security Payload'' nur bei ''Attempt to detect/decode encrpyted ESP payloads'' setzen.
+ESP SAs Edit:
+^ Protocol ^ Src IP ^ Dest IP ^ SPI ^ Encryption ^ Encryption Key ^ Authentication ^ Authentication Key ^
+| IPv4 | 192.168.0.244 | 192.168.0.77 | * | TripleDES-CBC | 0x3f0b868... | NULL | 0xbf9a081... |
+| IPv4 | 192.168.0.77 | 192.168.0.244 | * | TripleDES-CBC | 0x3f0b868... | NULL | 0xbf9a081... |
+HINWEIS: Das Authentication Protocol (hier eigentlich HMAC-MD5-96) darf **NICHT** ausgewählt werden, da sonst Wireshark ein rot markiertes ''Malformed Packet'' ausgibt. Stattdessen wird der Wert ''NULL'' verwendet.
+Gleiches gilt für die SPIs. Hier wird per ''*''((entspricht wildcard, also beliebig)) der SPI offen gelassen.
 -------------