Назад | Перейти на главную страницу

Расшифровка пакетов ESP в транспортном режиме IPSEC, если известен предварительный общий ключ

Я читаю IPSec, и мне было интересно, могу ли я использовать wirehark для расшифровки пакетов ESP из сеансов транспортного режима IPSEC, которые используют предварительный ключ. Из чтения эта тема, Я понял, что даже если предварительный ключ уже известен, все равно нетривиально расшифровать пакеты ESP из-за процесса ISAKMP. Похоже, что для получения ключей шифрования и аутентификации, необходимых для wirehark, необходим дамп ядра маршрутизатора.

Насколько я понимаю это правильно, и может ли кто-нибудь объяснить, как ISAKMP делает так, чтобы информация с конечной точки была необходима? Мне трудно найти объяснение, которое не требует большего знания криптографии, чем у меня (например, RFC 2408) (Но, может быть, это потому, что иначе нельзя объяснить?).

Похоже, вы это правильно понимаете. Причина, по которой вам нужны данные с одной из конечных точек, заключается в том, что ISAKMP периодически меняет ключи, а Cisco не предоставляет «удобный способ» доступа к этой информации. Дампы на каждой стороне позволяют увидеть текущий ключ. В этом не было бы необходимости, если бы у одного из партнеров была утилита для извлечения согласованных ключей по мере их изменения.

Изменить: следует отметить, что для этого он использует виртуальный маршрутизатор, а не настоящий маршрутизатор для тех, кто не знаком с GNS3 / Dynamips / Dynagen. Он также заявил, что если бы вы создавали эту VPN с использованием определенных сервисов Linux, а не маршрутизатора cisco, вы могли бы без проблем запросить текущий ключ.