IKEv2 パケットの復号化方法
Objective
で IPSec が終了する場合は、IKEv2 パケット VPN を復号化して分析 firewall します。
Procedure
ステップ1: ikemgr デバッグをダンプ・レベルに使用可能にする
admin@firewall> debug ike global on dump
ステップ 2:検索 SPI 、 暗号化、およびハッシュ アルゴリズム
#セット内の最初のコマンド SPI が実行された場所に関係なく、イニシエーターに属します。
admin@firewall> show vpn ike-sa detail gateway s2s <...> IKE SA: SPI: 628be6458b436c75:00492d770b06b539 Init <...> Proposal: AES128-CBC/SHA1/DH2 admin@firewall> less mp-log ikemgr.log <snip> ====> Established SA: 10.0.0.1[500]-10.0.0.2[500] SPI:628be6458b436c75:00492d770b06b539 SN:7 lifetime 28800 Sec <====
ステップ3: イニシエーターの暗号化キーを見つける (SK_ei)
# デバッグがレスポンダーで実行された場合、"復号化" と "暗号文" メッセージの後にイニシエーターのキーが表示されます。
admin@firewall> less mp-log ikemgr.log
2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: encrypting:
2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: plaintext:
<...>
2018-10-31 22:16:10.956 +0800 [DEBG]: { 1: }: key:
2018-10-31 22:16:10.956 +0800 [DUMP]:
26ce52c9 42df35c8 9696d852 27cee760
ステップ 4: レスポンダーの暗号化キーを見つける (SK_er)
admin@firewall> less mp-log ikemgr.log
2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: decrypting:
2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: ciphertext:
2018-10-31 22:16:10.975 +0800 [DUMP]:
<...>
2018-10-31 22:16:10.975 +0800 [DEBG]: { 1: }: key:
2018-10-31 22:16:10.975 +0800 [DUMP]:
1cea4a2b 1586745e 08c5ac12 99bf331f
ステップ 5:ダミー認証キーを作成する (SK_aiとSK_ar)
ログファイルにSK_aiとSK_arを直接印刷しません。
整合性を確認する必要がない場合は、SK_aiと SK_arにはすべてゼロを使用できます
SHA-1 。
000000000000000000000000000000000000000000000000000000000000000000000000000 >
ISAKMP >
>00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ESP
aes128-gcmを使用してパケットを復号化する場合 ESP (両方の ikev1/v2)、ikemgr ログからダンプを取ります。 認証キーがないため、認証キーと認証キーは次のように使用されます。
2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_update: seq=1, ul_proto=255 sa_src=34.100.95.129[500]/0, sa_dst=172.16.1.128[500]/0, satype=141 (ESP), spi=0xC827AFFE, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0,
lifetime hard time 3600, bytes 0, lifetime soft time 2892, bytes 0, enckey len=20 [d5a466fd0c601bb49c4261ee9f197d0f4b2456d2], authkey len=0 []>>>>>>>>>>>>>>>>
2020-09-08 22:51:32.512 -0700 [INFO]: { 50: 57}: SADB_ADD proto=255 172.16.1.128[500]=>34.100.95.129[500] ESP tunl spi 0x99B4E739 auth=NON-AUTH enc=AES128-GCM16/20 lifetime soft 3067/0 hard 3600/0
2020-09-08 22:51:32.512 -0700 [DUMP]: sadb_add: seq=1, ul_proto=255 sa_src=172.16.1.128[500]/0, sa_dst=34.100.95.129[500]/0, satype=141 (ESP), spi=0x99B4E739, wsize=64, authtype=38 (NON-AUTH), enctype=31 (AES128-GCM16), saflags=0x0, samode=137 (tunl), reqid=0,
lifetime hard time 3600, bytes 0, lifetime soft time 3067, bytes 0, enckey len=20 [e5bb8dfdc09ed681d9678c7e7c800e79656e46af], authkey len=0 []>>>>>>>>>>>>>>>>
編集 -> 設定 -> プロトコル -> ESP -> 暗号化されたペイロードを検出/デコードしようとしました ESP
ESP SA Edit..
Additional Information
IKEv1 の復号化手順 ESP と、ここに記載されているhttps://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
パケットの復号化された内容だけを見ることに興味がある場合は IKE 、 IKE 暗号化 (アウトバウンド) の前と ikemgr デーモンによる復号化 (インバウンド) の後にクリアテキストパケットがキャプチャされる「デバッグ ike pcap」機能を使用 MP します。 "scp エクスポート デバッグ pcap." と共に pcap ファイル
を
エクスポートする 詳細については、次を参照してください https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClivCAC