Comment décrypter les paquets IKEv2

admin@firewall> debug ike global on dump

admin@firewall> show vpn ike-sa detail gateway s2s
<...>
IKE SA:

  SPI:  628be6458b436c75:00492d770b06b539  Init
<...>
        Proposal:   AES128-CBC/SHA1/DH2

admin@firewall> less mp-log ikemgr.log
<snip>

====> Established SA: 10.0.0.1[500]-10.0.0.2[500]

SPI:628be6458b436c75:00492d770b06b539 SN:7 lifetime 28800 Sec <====

Étape 3: Trouvez la clé de cryptage de l’initiateur (SK_ei) # Si le débogage a été pris sur
le répondeur, vous verrait la clé de l’initiateur après « décryptage » et « texte chiffré » messages.

admin@firewall> less mp-log ikemgr.log

2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }: encrypting:
2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }:   plaintext:
<...>
2018-10-31 22:16:10.956 +0800  [DEBG]: {    1:     }:   key:
2018-10-31 22:16:10.956 +0800  [DUMP]:
26ce52c9 42df35c8 9696d852 27cee760

Étape 4: Trouver la clé de cryptage du répondeur (SK_er)

admin@firewall> less mp-log ikemgr.log
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }: decrypting:
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }:   ciphertext:
2018-10-31 22:16:10.975 +0800  [DUMP]:
<...>
2018-10-31 22:16:10.975 +0800  [DEBG]: {    1:     }:   key:
2018-10-31 22:16:10.975 +0800  [DUMP]:
1cea4a2b 1586745e 08c5ac12 99bf331f

Étape 5: Créez des touches d’authentification factices (SK_ai et SK_ar)

Nous n’imprimons pas les SK_ai et SK_ar dans le fichier journal directement.
Si vous ne vous souciez pas de vérifier l’intégrité, vous pouvez utiliser tous les zéros pour SK_ai et SK_ar Pour , la taille de la
SHA-1 clé est de 160 bits ou 20 octets, ce qui signifie 40 zéros.
00000000000000000000000000000000000000000 »

Étape 6: Configurer Wireshark (Préférences > Protocoles > ISAKMP > IKEv2 Table de décryptage)



Étape 7: Décrypter les aes128-cbc suivre les étapes de ESP la documentation ikev1 mentionnées dans des informations supplémentaires.

Si aes128-gcm est utilisé alors pour décrypter le paquet (à la ESP fois ikev1/v2), prendre la décharge à partir de journaux ikemgr. Il n’y a pas d’authkey, donc la clé d’authentification et d’authentification doit être utilisée comme indiqué ci-dessous :

2020-09-08 22:51:32.512 -0700  [DUMP]: sadb_update: seq=1, ul_proto=255 sa_src=34.100.95.129[500]/0, sa_dst=172.16.1.128[500]/0, satype=141 (ESP), spi=0xC827AFFE, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, 
lifetime hard time 3600, bytes 0, lifetime soft time 2892, bytes 0, enckey len=20 [d5a466fd0c601bb49c4261ee9f197d0f4b2456d2], authkey len=0 []>>>>>>>>>>>>>>>>
2020-09-08 22:51:32.512 -0700  [INFO]: {   50:   57}: SADB_ADD proto=255 172.16.1.128[500]=>34.100.95.129[500] ESP tunl spi 0x99B4E739 auth=NON-AUTH enc=AES128-GCM16/20 lifetime soft 3067/0 hard 3600/0
2020-09-08 22:51:32.512 -0700  [DUMP]: sadb_add: seq=1, ul_proto=255 sa_src=172.16.1.128[500]/0, sa_dst=34.100.95.129[500]/0, satype=141 (ESP), spi=0x99B4E739, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0, 
lifetime hard time 3600, bytes 0, lifetime soft time 3067, bytes 0, enckey len=20 [e5bb8dfdc09ed681d9678c7e7c800e79656e46af], authkey len=0 []>>>>>>>>>>>>>>>>

Modifier -> préférences -> protocoles -> ESP -> tenter de détecter / décoder les ESP charges utiles cryptées
ESP SAs Modifier ...

Procédure de décryptage pour IKEv1 ESP et est documentée ici: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC

Si vous n’êtes intéressé qu’à voir le contenu décrypté des IKE paquets, utilisez la fonctionnalité « debug ike pcap » dans laquelle les paquets cleartext IKE sont capturés avant le chiffrement (sortant) et après le décryptage (entrant) par le démon ikemgr sur MP . Exportez le fichier pcap avec « scp export debug-pcap ... »

Se référer à suivre pour plus: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC