Comment décrypter les paquets IKEv2
Objective
Décrypter et analyser les paquets IKEv2 pour IPSec VPN se terminant sur le firewall .
Procedure
Étape 1: Activer les débogages ikemgr pour vider le niveau
admin@firewall> debug ike global on dump
Étape 2 : Trouvez l’algorithme de SPI cryptage et de hachage
# Le premier de SPI l’ensemble appartient à l’initiateur, quel que soit l’endroit où la commande a été exécuté.
admin@firewall> show vpn ike-sa detail gateway s2s <...> IKE SA: SPI: 628be6458b436c75:00492d770b06b539 Init <...> Proposal: AES128-CBC/SHA1/DH2 admin@firewall> less mp-log ikemgr.log <snip> ====> Established SA: 10.0.0.1[500]-10.0.0.2[500] SPI:628be6458b436c75:00492d770b06b539 SN:7 lifetime 28800 Sec <====
Étape 3: Trouvez la clé de cryptage de l’initiateur (SK_ei) # Si le débogage a été pris sur
le répondeur, vous verrait la clé de l’initiateur après « décryptage » et « texte chiffré » messages.
admin@firewall> less mp-log ikemgr.log 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: encrypting: 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: plaintext: <...> 2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: key: 2018-10-31 22:16:10.956 +0800 [DUMP]: 26ce52c9 42df35c8 9696d852 27cee760
Étape 4: Trouver la clé de cryptage du répondeur (SK_er)
admin@firewall> less mp-log ikemgr.log 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: decrypting: 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: ciphertext: 2018-10-31 22:16:10.975 +0800 [DUMP]: <...> 2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: key: 2018-10-31 22:16:10.975 +0800 [DUMP]: 1cea4a2b 1586745e 08c5ac12 99bf331f
Étape 5: Créez des touches d’authentification factices (SK_ai et SK_ar)
Nous n’imprimons pas les SK_ai et SK_ar dans le fichier journal directement.
Si vous ne vous souciez pas de vérifier l’intégrité, vous pouvez utiliser tous les zéros pour SK_ai et SK_ar Pour , la taille de la
SHA-1 clé est de 160 bits ou 20 octets, ce qui signifie 40 zéros.
00000000000000000000000000000000000000000 »
Étape 6: Configurer Wireshark (Préférences > Protocoles > ISAKMP > IKEv2 Table de décryptage)
Étape 7: Décrypter les aes128-cbc suivre les étapes de ESP la documentation ikev1 mentionnées dans des informations supplémentaires.
Si aes128-gcm est utilisé alors pour décrypter le paquet (à la ESP fois ikev1/v2), prendre la décharge à partir de journaux ikemgr. Il n’y a pas d’authkey, donc la clé d’authentification et d’authentification doit être utilisée comme indiqué ci-dessous :
2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_update: seq=1, ul_proto=255 sa_src=34.100.95.129[500]/0, sa_dst=172.16.1.128[500]/0, satype=141 (ESP), spi=0xC827AFFE, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, lifetime hard time 3600, bytes 0, lifetime soft time 2892, bytes 0, enckey len=20 [d5a466fd0c601bb49c4261ee9f197d0f4b2456d2], authkey len=0 []>>>>>>>>>>>>>>>> 2020-09-08 22:51:32.512 -0700 [INFO]: { 50: 57}: SADB_ADD proto=255 172.16.1.128[500]=>34.100.95.129[500] ESP tunl spi 0x99B4E739 auth=NON-AUTH enc=AES128-GCM16/20 lifetime soft 3067/0 hard 3600/0 2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_add: seq=1, ul_proto=255 sa_src=172.16.1.128[500]/0, sa_dst=34.100.95.129[500]/0, satype=141 (ESP), spi=0x99B4E739, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, lifetime hard time 3600, bytes 0, lifetime soft time 3067, bytes 0, enckey len=20 [e5bb8dfdc09ed681d9678c7e7c800e79656e46af], authkey len=0 []>>>>>>>>>>>>>>>>
Modifier -> préférences -> protocoles -> ESP -> tenter de détecter / décoder les ESP charges utiles cryptées
ESP SAs Modifier ...
Additional Information
Procédure de décryptage pour IKEv1 ESP et est documentée ici: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
Si vous n’êtes intéressé qu’à voir le contenu décrypté des IKE paquets, utilisez la fonctionnalité « debug ike pcap » dans laquelle les paquets cleartext IKE sont capturés avant le chiffrement (sortant) et après le décryptage (entrant) par le démon ikemgr sur MP . Exportez le fichier pcap avec « scp export debug-pcap ... »
Se référer à suivre pour plus: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC