Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:vpn [2014/05/21 13:47] – [VPN-Laborübung] richard
+++ lager:oeff_netze:vpn [2025/11/19 16:15] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
-====== VPN-Laborübung ======
+====== VPN-Laborübung Einführung ======
-Diese Seite lässt sich als PDF((s. Symbol neben Suche oben)) und als OpenOffice-Dokument((s. Symbol rechts oben)) herunterladen. Nutzen Sie das OpenOffice-Dokument, um Ihre Ergebnisse festzuhalten.
+Diese Seite lässt sich als PDF((s. Symbol rechts)) und als OpenOffice-Dokument((s. Symbol rechts)) herunterladen. Nutzen Sie das OpenOffice-Dokument, um Ihre Ergebnisse festzuhalten.
 ===== Allgemeine Hinweise für die Durchführung unter Linux =====
@@ Zeile 65: / Zeile 65: @@
 ===== Manuell verschlüsselte Verbindungen setkey=====
-Mittels ''setkey'' lassen sich manuell verschlüsselte Verbindungen konfigurieren und aufbauen.
+Mittels ''setkey'' lassen sich manuell verschlüsselte Verbindungen konfigurieren. ''setkey'' selbst baut dabei nicht die Verbindung auf, sondern dient lediglich zur Verwaltung der Verbindungen, die in den unterschiedlichen Datenbanken (s.u. Tabelle) hinterlegt werden.
-''setkey'' verwalten die Verbindungen, die den unterschiedlichen Datenbanken (s.u. Tabelle) hinterlegt werden.
+Die Verbindungen werden bei Bedarf, also sobald ein Paket die Kriterien erfüllt, durch den IP-Protokollstack aufgebaut.
 Folgende Begriffe werden dabei verwendet:
@@ Zeile 83: / Zeile 84: @@
   - Gateway auf den Endteilnehmern eintragen
   - Starten der Verbindung (s. [[vpn#setkey-Aufrufparameter | setkey-Aufrufparameter]])
-  - Überprüfen der Verdingung mittels ''ping'' und Mitschnitt mit ''wireshark'' an geeigneter Stelle.
+  - Überprüfen der Verbindung mittels ''ping'' und Mitschnitt mit ''wireshark'' an geeigneter Stelle.
 ==== setkey-Konfiguration ====
@@ Zeile 147: / Zeile 148: @@
 ==== setkey-Aufrufparameter ====
-Der Befehl ''setkey'' benötigt administrative Rechte, daher muss entweder ''sudo'' vorangestellt werden.
+Der Befehl ''setkey'' benötigt administrative Rechte, daher muss ''sudo'' vorangestellt werden.
 ^ Parameter ^ Steht für  ^ Erklärung ^
@@ Zeile 266: / Zeile 267: @@
+====== Beispiel-Capture für Wireshark ======
+Die folgende Datei enthält zwei einfache Beispiel-Capture Dateien, die einmal eine nur ''AH''-gesicherte Verbindung zeigt und einmal eine ''ESP''-gesicherte Verbindung zeigt.
+Beide Verbindungen sind End-to-End und im Transport-Modus. D.h. die eigentlichen Kommunikationspartner sind erkennbar und nicht verschlüsselt.
+**{{ :lager:oeff_netze:vpn_capture.zip |DOWNLOAD CAPTURE}}**
+Hinweis: Bei der ''ESP''-Verbindung wurde der Schlüssel aus den obigen Beispiel-Dateien verwendet. Wie im vorangegangen Abschnitt gezeigt kann man diese Datenstrom also entschlüsseln.
+===== Parameter ab Wireshark 2.0 =====
+Bearbeiten -> Einstellungen -> Protocols -> ESP
+Unter ''Encapsulating Security Payload'' nur bei ''Attempt to detect/decode encrpyted ESP payloads'' setzen.
+ESP SAs Edit:
+^ Protocol ^ Src IP ^ Dest IP ^ SPI ^ Encryption ^ Encryption Key ^ Authentication ^ Authentication Key ^
+| IPv4 | 192.168.0.244 | 192.168.0.77 | * | TripleDES-CBC | 0x3f0b868... | NULL | 0xbf9a081... |
+| IPv4 | 192.168.0.77 | 192.168.0.244 | * | TripleDES-CBC | 0x3f0b868... | NULL | 0xbf9a081... |
+HINWEIS: Das Authentication Protocol (hier eigentlich HMAC-MD5-96) darf **NICHT** ausgewählt werden, da sonst Wireshark ein rot markiertes ''Malformed Packet'' ausgibt. Stattdessen wird der Wert ''NULL'' verwendet.
+Gleiches gilt für die SPIs. Hier wird per ''*''((entspricht wildcard, also beliebig)) der SPI offen gelassen.
 -------------