1 链路层安全协议分析实验

  • 格式:doc
  • 大小:4.62 MB
  • 文档页数:11

1 链路层安全协议分析实验1.1 实验目的利用PPTP和L2TP/IPSec在客户机和服务器之间建立VPN,通过wireshark或sniffer 等抓包工具对数据包进行分析,深入理解PPTP和L2TP安全协议所采用的安全机制。

1.2 实验内容要求在Windows2000或2003 Server环境下,分别采用PPTP和L2TP/IPSec在客户机和服务器之间建立起VPN。

1.3 实验环境实验环境如图14-13所示。

两台计算机,一台Windows 2000 Server,一台Windows 2000客户机,形成一个网络环境(最好不在同一子网)。

VPN服务器使用Windows 2000 Server,相关组件为系统自带。

要求VPN服务器已经连入Internet。

VPN客户机端的操作系统也使用Windows 2000,相关系统自带,要求客户端也能连入Internet。

1.4 利用PPTP配置VPN在基于PPTP的远程访问VPN方式下,一台Windows 2000 Server的计算机充当一台VPN的远程访问服务器,它直接连接到Internet中。

远程客户通过拨号连接到Internet中,然后与VPN服务器建立一条PPTP隧道。

VPN服务器提供给远程客户机VPN服务器资源或者VPN服务器所在的本地网络的整个资源的访问。

图14-13 通过PPTP或L2TP/IPSec访问VPN1.VPN服务器的配置①在Windows 2000 Server中,点击开始→程序→管理工→路由和远程访问,进入“路由和远程访问”控制台;②在窗口左边“SWJTU(本地)”(SWJTU为服务器名)处单击右键,选择“配置并启用路由和远程访问”,打开“路由和远程访问安装向导”窗口。

如图14-14所示。

296图14 -14 配置并启用路由和远程访问③在“欢迎使用路由和远程访问安装向导”窗体直接单击下一步;④在“公共设置”一步,需要选择相应的公共配置。

默认选项为“Internet连接服务器”,需要改选为“虚拟专用网络(VPN)服务器”,以便让用户能通过公共网络来访问此服务器。

如图14-15所示,单击下一步;⑤在“远程客户协议”的对话框中,一般说来,至少应该已经有了TCP/IP协议,则只需直接点选“是,所有可用的协议都在列表上”,再点击下一步即可;⑥系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或指定的网卡连接等),再单击下一步;⑦接着在回答“您想如何对远程客户机分配IP地址”的询问时,推荐选择“来自一个指定的IP地址范围”,单击下一步;⑧在“地址范围指定”一步可为VPN客户机指定所分配的IP地址范围。

单击“新建”按钮打开“新建地址范围”窗口,按提示输入IP地址的范围为“202.115.65.50”到“202.115.65.80”,单击确定返回;图14-15 设置VPN服务器⑨在“管理多个远程访问服务器”一步,用于设置集中管理多个VPN服务器。

使用默认值,单击下一步;⑩最后出现“正在完成路由和远程访问服务器安装向导”窗口,配置完成。

屏幕上将自动弹出一个“正在启动路由和远程访问服务”窗口。

当它消失之后返回297路由和远程访问控制台,VPN服务器配置结束。

打开“管理工具”中的“服务”,可看到“Routing and Remote Access”项处于“已启动”状态。

如图14-16所示。

图14-16 启动路由和远程访问2.赋予用户拨入权限Windows 2000上默认值为任何用户均被拒绝拨入到VPN服务器上,需要为相应用户赋予拨入权限。

本实验以“VPN”用户为例。

①在“我的电脑”处单击右键,选择“管理”,打开“计算机管理”控制台;②在左边窗口中依次展开“本地用户和组” “用户”,在右边窗口中双击“VPN”打开其属性窗口;③转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下将默认值改为“允许访问”,如图14-17所示。

再单击确定,返回控制台,即可完成赋予此用户拨入权限的工作。

图14-17 赋予用户VPN拨入权限3.配置PPTP端口298完成了前面的配置后,实际上已经拥有了一台VPN服务器,接下来要对此VPN服务器进行配置。

首先确定PPTP端口数,本实验只使用了一台客户机,可以如下配置:右键单击路由和远程访问控制台中的“端口”项,然后单击“属性”,在“端口属性”对话框中,双击“WAN微型端口(PPTP)”项,在弹出的对话框中可设置最多端口数,如图14-18所示。

图14-18 设置PPTP端口数4.安全设置Win2000的缺省设置是同时支持MS-CHAP第1版和第2版,由于第1版存在缺陷,因此需要更改缺省选项。

①右键单击控制台中的服务器,选择“属性”,单击弹出对话框中“安全”标签;②单击“身份验证方法”,按图14-19进行设置:5.VPN客户端的配置①打开控制面板中的“网络和拨号连接”窗口;图14-19 取消MS-CHAP第1版的身份验证方法②双击“新建连接”图标打开“网络连接向导”窗口;③单击下一步,在“网络连接类型”一步将默认选项改为“通过Internet连接到专用网络”,继续下一步;④在“主机名或IP地址”栏中输入VPN服务器的IP地址202.115.65.71,单击下一步继续;299⑤在“可用连接”一步可以选择此连接仅允许当前客户当前登录用户使用,还是可让客户机中所有用户使用。

可根据需要选择,继续下一步;⑥最后就是为此连接设置一个名称,默认值为“虚拟专用连接”。

可以勾选“在我的桌面添加一快捷方式”复选框,以方便以后的使用,单击完成;⑦完成以上的设置后,自动弹出名为“连接虚拟专用连接”的窗口,在用户名处输入“VPN”,并输入相应的密码,单击“连接”按钮继续;⑧出现“正在连接虚拟专用连接…”窗口,正在网络上注册你的计算机。

当连接成功后,会出现如图14-20的情形:图14-20 VPN连接成功当双方建立好VPN连接后,相当于又在Internet上建立好了一个连接双方专用的虚拟通道。

通过此通道,双方可以在网上邻居中进行互访,相当于又组成了一个本地局域网,但这个局域网是连接双方专用的,而且具有良好的保密性。

为了了解PPTP隧道的建立过程及PPTP帧的封装格式,可以使用网络监视器(如本书第三章介绍的Ethereal软件)分析网络上的数据包,加深对PPTP协议的认识。

1.5 利用L2TP/IPSec设置VPN该实验环境与前一相同。

利用L2TP/IPSec配置VPN和利用PPTP配置VPN的最大区别在于L2TP要求一个证书服务器,下面先进行服务器端的证书设置。

1.活动目录设置①点击开始→程序→管理工具→配置服务器,选择“Active Directory”,单击“启动Active Directory向导”,进入活动目录安装向导,单击下一步;②按照向导的提示,根据默认选项,创建新域的域控制器,新域目录树或新的子域,新的域目录林,单击下一步继续;③在“新域的DNS全名”栏中填入根据服务器的情况进入希望的域名,如,单击下一步;④在“域NetBIOS名”栏中保留默认值VPN,单击下一步;300⑤设置好数据库和日志文件的位置,按下一步继续;⑥可默认文件夹位置,单击下一步;⑦弹出一个警告,报告无法与名为的DNS服务器取得联系,单击确定,在出现的窗口中,选择“是,在这台计算机上安装和配置DNS(推荐)”,为新域配置DNS;⑧权限设置,选择“只与Window 2000服务器相兼容的权限”,单击下一步;⑨输入并确认想给这个服务器管理员帐户的密码,按下一步继续,检查并确认选定的选项,若无需更改单击下一步;⑩这时会看到如图14-21的情形,等待计算机进行配置,中途需要插入安装光盘设置组件,最后安装完毕,点击完成。

图14-21 等待计算机配置活动目录注:Active Directory 是一种灵活的企业级目录服务,它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。

它使用Internet 标准技术构建,并完全集成在操作系统层次上。

通过登录验证以及目录中对象的访问控制,将安全性集成到Active Directory中。

通过一次网络登录,管理员可管理整个网络中的目录数据和单位,而且获得授权的网络用户可访问网络上任何地方的资源。

基于策略的管理减轻了复杂的网络管理。

实验中将用到的Active Directory用户和计算机,允许管理员在目录中添加、修改、删除和组织Windows 2000用户帐户、计算机帐户、安全和通讯组以及公布的资源。

2.证书服务器设置①依次点击开始→设置→控制面板→添加/删除程序,选择添加删除Windows组件;②选中“证书服务”,会出现一个警告,点击“是”;③选择环境所要求的证书服务器类型,实验的VPN使用企业根CA,因为环境要求对机器证书自动配置,单击下一步;④填写CA识别信息,以帮助识别你的证书所承担的角色,单击下一步;⑤确认证书数据库和日志的位置,可以不需要一个共享的文件夹来保存配置信息,单击下一步;⑥如果服务器运行了Internet信息服务器,就会出现一个警告,说明服务在开始安装证书服务器时会停止运行,点击确定;⑦点击完成,退出“添加Windows组件向导”,证书服务器安装完成后,可以对控制台进行配置,以方便证书的管理;⑧点击始→运行,输入mmc,单击确定,打开“控制台1”窗口;⑨点击“控制台”,选择“添加/删除管理单元”,再点击“添加”,在管理单元列301表中选择“证书”,进行添加;⑩选择“计算机帐户”,单击下一步。

选择“本地计算机”并点击完成,关闭管理单元列表窗口,再点击确定,回到控制台,保存控制台1。

3.自动配置机器证书①点击开始→程序→管理工具→Active Directory用户和计算机,在左边的面板中,右击包含CA的域名,选择“属性”;②点击“组策略”标签,点击Default Domain Policy,选择编辑。

在左面板中选择计算机配置→Windows设置→安全设置→公钥策略→自动证书申请设置,在右面板中单击“自动证书申请”,如图14-22所示。

③出现自动申请证书设置向导,单击下一步,在证书模板列表中,选择“计算机”,然后点击下一步;④选择在域中负责发送证书的CA。

单击下一步,再点击完成。

关闭组策略窗口,再点击属性窗口中的确定。

⑤为了使域策略生效,选择开始→运行,输入secedit /refreshpolicy machine_policy,将启动组策略程序。

⑥查看应用程序日志来观察是否有错误出现,若描述为“组策略对象中的安全策略被成功应用”,则说明启动成功,CA已经自动为计算机配置了机器证书。