Cómo descifrar paquetes IKEv2
Objective
Descifre y analice los paquetes IKEv2 para finalizar IPSec VPN en el firewall archivo .
Procedure
Paso 1: Habilite los debugs de ikemgr para volcar el nivel
admin@firewall> debug ike global on dump
Paso 2: Buscar el SPI , Cifrado, y Algoritmo hash
# El primero en el conjunto pertenece al SPI iniciador independientemente de dónde se ejecutó el comando.
admin@firewall> show vpn ike-sa detail gateway s2s <...> IKE SA: SPI: 628be6458b436c75:00492d770b06b539 Init <...> Proposal: AES128-CBC/SHA1/DH2 admin@firewall> less mp-log ikemgr.log <snip> ====> Established SA: 10.0.0.1[500]-10.0.0.2[500] SPI:628be6458b436c75:00492d770b06b539 SN:7 lifetime 28800 Sec <====
Paso 3: Buscar la clave de cifrado del iniciador
(SK_ei) - Si el debug se tomó en el respondedor, usted vería la clave del iniciador después de los mensajes de "descifrado" y "texto cifrado".
admin@firewall> less mp-log ikemgr.log 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: encrypting: 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: plaintext: <...> 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: key: 2018-10-31 22:16:10.956 +0800 [DUMP]: 26ce52c9 42df35c8 9696d852 27cee760
Paso 4: Buscar la clave de cifrado del respondedor (SK_er)
admin@firewall> less mp-log ikemgr.log 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: decrypting: 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: ciphertext: 2018-10-31 22:16:10.975 +0800 [DUMP]: <...> 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: key: 2018-10-31 22:16:10.975 +0800 [DUMP]: 1cea4a2b 1586745e 08c5ac12 99bf331f
Paso 5: Crear claves de autenticación ficticias (SK_ai y SK_ar)
No imprimimos las SK_ai y SK_ar en el archivo de registro directamente.
Si no le importa comprobar la integridad, puede usar todos los ceros para SK_ai y SK_ar
For , el tamaño de la clave es de SHA-1 160 bits o 20 bytes, lo que significa 40 ceros.
" 00000000000000000000000000000000000000000000"
Paso 6: Configurar Wireshark (Preferencias > Protocolos > ISAKMP > Tabla de descifrado IKEv2)
Paso 7: Descifrar aes128-cbc ESP siga los pasos en la documentación ikev1 mencionada en información adicional.
Si aes128-gcm se utiliza entonces para descifrar el ESP paquete (ambos ikev1/v2), tome el volcado de los registros ikemgr. No hay authkey, por lo tanto la autenticación y la clave de autenticación se utilizará como se muestra abajo:
2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_update: seq=1, ul_proto=255 sa_src=34.100.95.129[500]/0, sa_dst=172.16.1.128[500]/0, satype=141 (ESP), spi=0xC827AFFE, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, lifetime hard time 3600, bytes 0, lifetime soft time 2892, bytes 0, enckey len=20 [d5a466fd0c601bb49c4261ee9f197d0f4b2456d2], authkey len=0 []>>>>>>>>>>>>>>>> 2020-09-08 22:51:32.512 -0700 [INFO]: { 50: 57}: SADB_ADD proto=255 172.16.1.128[500]=>34.100.95.129[500] ESP tunl spi 0x99B4E739 auth=NON-AUTH enc=AES128-GCM16/20 lifetime soft 3067/0 hard 3600/0 2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_add: seq=1, ul_proto=255 sa_src=172.16.1.128[500]/0, sa_dst=34.100.95.129[500]/0, satype=141 (ESP), spi=0x99B4E739, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, lifetime hard time 3600, bytes 0, lifetime soft time 3067, bytes 0, enckey len=20 [e5bb8dfdc09ed681d9678c7e7c800e79656e46af], authkey len=0 []>>>>>>>>>>>>>>>>
Editar -> Preferencias -> Protocolos -> ESP -> Intentar detectar/decodificar cargas útiles cifradas ESP
ESP SAs Editar...
Additional Information
Procedimiento de descifrado para IKEv1 y ESP se documenta aquí: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
Si usted está interesado solamente en ver el contenido descifrado de IKE los paquetes, utilice la funcionalidad "debug ike pcap" en la cual los paquetes de cleartext IKE se capturan antes del cifrado (saliente) y después del descifrado (entrante) por el daemon ikemgr en MP . Exporte el archivo pcap con "scp export debug-pcap ..."
Consulte lo siguiente para obtener más información: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC