Wie ikEv2 Pakete zu entschlüsseln

admin@firewall> debug ike global on dump

admin@firewall> show vpn ike-sa detail gateway s2s
<...>
IKE SA:

  SPI:  628be6458b436c75:00492d770b06b539  Init
<...>
        Proposal:   AES128-CBC/SHA1/DH2

admin@firewall> less mp-log ikemgr.log
<snip>

====> Established SA: 10.0.0.1[500]-10.0.0.2[500]

SPI:628be6458b436c75:00492d770b06b539 SN:7 lifetime 28800 Sec <====

Schritt 3: Suchen Sie den Verschlüsselungsschlüssel des Initiators (SK_ei)
- Wenn das Debuggen auf dem Responder übernommen wurde, werden Sie den Schlüssel des Initiators nach "Entschlüsselung" und "Chiffretext"-Nachrichten sehen.

admin@firewall> less mp-log ikemgr.log

2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }: encrypting:
2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }:   plaintext:
<...>
2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }:   key:
2018-10-31 22:16:10.956 +0800  [DUMP]:
26ce52c9 42df35c8 9696d852 27cee760

Schritt 4: Suchen des Verschlüsselungsschlüssels des Responders (SK_er)

admin@firewall> less mp-log ikemgr.log
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }: decrypting:
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }:   ciphertext:
2018-10-31 22:16:10.975 +0800  [DUMP]:
<...>
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }:   key:
2018-10-31 22:16:10.975 +0800  [DUMP]:
1cea4a2b 1586745e 08c5ac12 99bf331f

Schritt 5: Dummy-Authentifizierungsschlüssel erstellen (SK_ai und SK_ar)

Wir drucken die SK_ai und SK_ar nicht direkt in der Protokolldatei.
Wenn Sie sich nicht darum kümmern, die Integrität zu überprüfen, können Sie alle Nullen für SK_ai und SK_ar Für verwenden,
SHA-1 die Schlüsselgröße ist 160-Bit oder 20 Bytes, was 40 Nullen bedeutet.
" 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000: Konfigurieren von Wireshark (Einstellungen > Protokolle > >

ISAKMP IKEv2 Entschlüsselungstabelle) Schritt



7: Um aes128-cbc zu entschlüsseln, ESP befolgen Sie die Schritte in der ikev1-Dokumentation, die in zusätzlichen Informationen erwähnt wird.

Wenn aes128-gcm verwendet wird, um das Paket zu entschlüsseln ESP (beide ikev1/v2), nehmen Sie den Dump aus ikemgr-Protokollen. Es gibt keinen Authkey, daher ist der Authentifizierungs- und Authentifizierungsschlüssel wie unten gezeigt zu verwenden:

2020-09-08 22:51:32.512 -0700  [DUMP]: sadb_update: seq=1, ul_proto=255 sa_src=34.100.95.129[500]/0, sa_dst=172.16.1.128[500]/0, satype=141 (ESP), spi=0xC827AFFE, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, 
lifetime hard time 3600, bytes 0, lifetime soft time 2892, bytes 0, enckey len=20 [d5a466fd0c601bb49c4261ee9f197d0f4b2456d2], authkey len=0 []>>>>>>>>>>>>>>>>
2020-09-08 22:51:32.512 -0700  [INFO]: {   50:   57}: SADB_ADD proto=255 172.16.1.128[500]=>34.100.95.129[500] ESP tunl spi 0x99B4E739 auth=NON-AUTH enc=AES128-GCM16/20 lifetime soft 3067/0 hard 3600/0
2020-09-08 22:51:32.512 -0700  [DUMP]: sadb_add: seq=1, ul_proto=255 sa_src=172.16.1.128[500]/0, sa_dst=34.100.95.129[500]/0, satype=141 (ESP), spi=0x99B4E739, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, 
lifetime hard time 3600, bytes 0, lifetime soft time 3067, bytes 0, enckey len=20 [e5bb8dfdc09ed681d9678c7e7c800e79656e46af], authkey len=0 []>>>>>>>>>>>>>>>>

Bearbeiten -> -> Protokolle -> ESP -> Versuch, verschlüsselte Nutzlasten zu erkennen/decodieren ESP
ESP SAs Bearbeiten...

Entschlüsselungsverfahren für IKEv1 und ESP ist hier dokumentiert: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC

Wenn Sie nur den entschlüsselten Inhalt von Paketen sehen möchten, verwenden Sie IKE die Funktion "debug ike pcap", bei der Klartextpakete IKE vor der Verschlüsselung (ausgehend) und nach der Entschlüsselung (eingehend) durch den ikemgr-Daemon am erfasst MP werden. Exportieren Sie die pcap-Datei mit "scp export debug-pcap ..."

Weitere Informationen finden Sie unter: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC