URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70058
[ Назад ]

Исходное сообщение
"IPSEC and tcpdump"
Отправлено Alex , 06-Ноя-06 19:48

Здравствуйте коллеги!
Есть рабочая конфигурация IPsec VPN поднятая между
Dlink 808hv и FreeBSD 5.4-RELEASE-p16
Dlink настроен по типовой конфигурации с сайта производителя
http://www.dlink.ru/technical/faq_vpn_11.php
так же настроен и сервер с FreeBSD
только используется racoon из пакета ipsec-tools-0.6.6
и не используются gif интерфейсы по причине не поддержки их на Dlink
Необходимо увидеть пакеты которые приходят
для внутреннего интерфейса FreeBSD через IPsec тунель.
XXX.XXX.XXX.XXX – внешний FreeBSD xxx.xxx.xxx.xxx – внутренний FreeBSD
YYY.YYY.YYY.YYY – внешний Dlink yyy.yyy.yyy.yyy – внутренний Dlink
tcpdump естесно видит такое
free# tcpdump -ni tun0 | grep YYY.YYY.YYY.YYY
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
18:24:30.486446 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dc)
18:24:30.486706 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x75f)
18:24:31.356931 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dd)
18:24:31.357198 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x760)
18:24:32.403817 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9de)
18:24:32.404086 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x761)
18:24:33.432940 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9df)
18:24:33.433122 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x762)
18:24:34.395532 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9e0)
Капание в tcpdump –E ничего мне не дало…
К FreeBSD доступ полный.

Содержание

IPSEC and tcpdump,smb, 21:28 , 06-Ноя-06
- IPSEC and tcpdump,Lacunacoil, 09:09 , 07-Ноя-06
  - IPSEC and tcpdump,Alex, 13:13 , 07-Ноя-06
    - IPSEC and tcpdump,Den, 22:49 , 07-Ноя-06
      - IPSEC and tcpdump,Alex, 13:39 , 08-Ноя-06
    - IPSEC and tcpdump,nikl, 08:57 , 27-Июн-16

Сообщения в этом обсуждении

"IPSEC and tcpdump"
Отправлено smb , 06-Ноя-06 21:28

Копался с подобной штукой, но, увы, не нашел решения - так и не понял, как получить доступ (и возможно ли это) непосредственно к содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)

"IPSEC and tcpdump"
Отправлено Lacunacoil , 07-Ноя-06 09:09

>Копался с подобной штукой, но, увы, не нашел решения - так и
>не понял, как получить доступ (и возможно ли это) непосредственно к
>содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)

Если бы к шифрованным пакетам можно было получить так легко доступ... зачем тогда нужно шифрование.

"IPSEC and tcpdump"
Отправлено Alex , 07-Ноя-06 13:13

>>Копался с подобной штукой, но, увы, не нашел решения - так и
>>не понял, как получить доступ (и возможно ли это) непосредственно к
>>содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)
>
>
>Если бы к шифрованным пакетам можно было получить так легко доступ... зачем
>тогда нужно шифрование.
Хотелось бы конечно услышать ответы по существу... В мане к моему
tcpdump говорится

-E     Use spi@ipaddr algo:secret for decrypting IPsec ESP packets that
              are addressed to addr and contain Security Parameter Index value
              spi. This combination may be  repeated  with  comma  or  newline
              seperation.
В общем существует возможность расишифровки пакетов
но всевозможные комбинации spi@ipaddr algo:secret к каким либо зримым результатам
не приводят. Если кто расшифровывал то нужен алгоритм
или пример или что нибудь что поможет в этом дела...
Очень много задач на сервере требующие контроля и учёта в смысле
трафика внутри IPsec канала с фейховыми адресами...

"IPSEC and tcpdump"
Отправлено Den , 07-Ноя-06 22:49

если тунель терминируется на твоем сервере, то не вижу проблем в снифинге, если же это транзитный ipsec трафик, то эт нереально, даже не пробуй все равно ничего не взломаешь.

"IPSEC and tcpdump"
Отправлено Alex , 08-Ноя-06 13:39

>если тунель терминируется на твоем сервере, то не вижу проблем в снифинге,
>если же это транзитный ipsec трафик, то эт нереально, даже не
>пробуй все равно ничего не взломаешь.
>Есть рабочая конфигурация IPsec VPN поднятая между
>Dlink 808hv и FreeBSD 5.4-RELEASE-p16
>Dlink настроен по типовой конфигурации с сайта производителя
>http://www.dlink.ru/technical/faq_vpn_11.php
>так же настроен и сервер с FreeBSD
>только используется racoon из пакета ipsec-tools-0.6.6
>и не используются gif интерфейсы по причине не поддержки их на Dlink
Да тунель создаётся на моём серваке FreeBSD 5.4-RELEASE-p16 с моим ключём
и полным доступом. Пакеты входящие через тунель IPsec могут адресоватся
как члену локальной сети так и самому серваку FreeBSD 5.4-RELEASE-p16
(для его внутреннего интерфейса). Снифирить те тунельные пакеты которые выходят
расшифрованными через FreeBSD 5.4-RELEASE-p16 в локалку естено никаких проблем...
Но пост созда для того чтобы разобратся как снифирить пакеты которые приходтя через IPsec для фейхового адресса FreeBSD 5.4-RELEASE-p16 и всех остальных локальных на внешнем интерфейсе.
Если есть конкретный опыт и пример, то прошу сюда :)

"IPSEC and tcpdump"
Отправлено nikl , 27-Июн-16 08:57

1) узнаем SPI (in или out) для конкретного SA:
2) узнаем encryption key для этого SPI
sudo setkey -D | grep -A 1 420e154f <--- (нужный SPI)
esp mode=tunnel spi=1108219215(0x420e154f) reqid=16632(0x000040f8)
E: aes-cbc cddb026d f02cef75 cb3883cb 170c12a5 < -- сессионный ключ
Из ключа убираем пробелы и предваряем 0x
потом запускаем sudo tcpdump -ni eth1 -E aes128-hmac96:0xcddb026df02cef75cb3883cb170c12a5 'ip[20:4] = 0x420e154f'