The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"IPSEC and tcpdump"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"IPSEC and tcpdump"  +/
Сообщение от Alex email(??) on 06-Ноя-06, 19:48 
Здравствуйте коллеги!

Есть рабочая конфигурация IPsec VPN поднятая между
Dlink 808hv и FreeBSD 5.4-RELEASE-p16
Dlink настроен по типовой конфигурации с сайта производителя
http://www.dlink.ru/technical/faq_vpn_11.php
так же настроен и сервер с FreeBSD
только используется racoon из пакета ipsec-tools-0.6.6
и не используются gif интерфейсы по причине не поддержки их на Dlink

Необходимо увидеть пакеты которые приходят
для внутреннего интерфейса FreeBSD через IPsec тунель.

XXX.XXX.XXX.XXX – внешний FreeBSD  xxx.xxx.xxx.xxx – внутренний FreeBSD
YYY.YYY.YYY.YYY – внешний Dlink yyy.yyy.yyy.yyy – внутренний Dlink

tcpdump естесно видит такое
free# tcpdump -ni tun0 | grep YYY.YYY.YYY.YYY
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
18:24:30.486446 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dc)
18:24:30.486706 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x75f)
18:24:31.356931 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dd)
18:24:31.357198 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x760)
18:24:32.403817 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9de)
18:24:32.404086 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x761)
18:24:33.432940 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9df)
18:24:33.433122 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x762)
18:24:34.395532 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9e0)

Капание в tcpdump –E ничего мне не дало…
К FreeBSD доступ полный.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSEC and tcpdump"  +/
Сообщение от smb on 06-Ноя-06, 21:28 
Копался с подобной штукой, но, увы, не нашел решения - так и не понял, как получить доступ (и возможно ли это) непосредственно к содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSEC and tcpdump"  +/
Сообщение от Lacunacoil email(ok) on 07-Ноя-06, 09:09 
>Копался с подобной штукой, но, увы, не нашел решения - так и
>не понял, как получить доступ (и возможно ли это) непосредственно к
>содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)


Если бы к шифрованным пакетам можно было получить так легко доступ... зачем тогда нужно шифрование.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSEC and tcpdump"  +/
Сообщение от Alex email(??) on 07-Ноя-06, 13:13 
>>Копался с подобной штукой, но, увы, не нашел решения - так и
>>не понял, как получить доступ (и возможно ли это) непосредственно к
>>содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)
>
>
>Если бы к шифрованным пакетам можно было получить так легко доступ... зачем
>тогда нужно шифрование.

Хотелось бы конечно услышать ответы по существу... В мане к моему
tcpdump говорится

-E     Use spi@ipaddr algo:secret for decrypting IPsec ESP packets that
              are addressed to addr and contain Security Parameter Index value
              spi. This combination may be  repeated  with  comma  or  newline
              seperation.

В общем существует возможность расишифровки пакетов
но всевозможные комбинации spi@ipaddr algo:secret к каким либо зримым результатам
не приводят. Если кто расшифровывал то нужен алгоритм
или пример или что нибудь что поможет в этом дела...

Очень много задач на сервере требующие контроля и учёта в смысле
трафика внутри IPsec канала с фейховыми адресами...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSEC and tcpdump"  +/
Сообщение от Den (??) on 07-Ноя-06, 22:49 
если тунель терминируется на твоем сервере, то не вижу проблем в снифинге, если же это транзитный ipsec трафик, то эт нереально, даже не пробуй все равно ничего не взломаешь.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSEC and tcpdump"  +/
Сообщение от Alex email(??) on 08-Ноя-06, 13:39 
>если тунель терминируется на твоем сервере, то не вижу проблем в снифинге,
>если же это транзитный ipsec трафик, то эт нереально, даже не
>пробуй все равно ничего не взломаешь.

>Есть рабочая конфигурация IPsec VPN поднятая между
>Dlink 808hv и FreeBSD 5.4-RELEASE-p16
>Dlink настроен по типовой конфигурации с сайта производителя
>http://www.dlink.ru/technical/faq_vpn_11.php
>так же настроен и сервер с FreeBSD
>только используется racoon из пакета ipsec-tools-0.6.6
>и не используются gif интерфейсы по причине не поддержки их на Dlink

Да тунель создаётся на моём серваке FreeBSD 5.4-RELEASE-p16 с моим ключём
и полным доступом. Пакеты входящие через тунель IPsec могут адресоватся
как члену локальной сети так и самому серваку FreeBSD 5.4-RELEASE-p16
(для его внутреннего интерфейса). Снифирить те тунельные пакеты которые выходят
расшифрованными через FreeBSD 5.4-RELEASE-p16 в локалку естено никаких проблем...
Но пост созда для того чтобы разобратся как снифирить пакеты которые приходтя через IPsec для фейхового адресса  FreeBSD 5.4-RELEASE-p16 и всех остальных локальных на внешнем интерфейсе.

Если есть конкретный опыт и пример, то прошу сюда :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPSEC and tcpdump"  +/
Сообщение от nikl (ok) on 27-Июн-16, 08:57 

1) узнаем SPI (in или out) для конкретного SA:
2) узнаем encryption key для этого SPI

sudo setkey -D | grep -A 1 420e154f <--- (нужный SPI)
    esp mode=tunnel spi=1108219215(0x420e154f) reqid=16632(0x000040f8)
    E: aes-cbc  cddb026d f02cef75 cb3883cb 170c12a5 < -- сессионный ключ
Из ключа убираем пробелы и предваряем 0x

потом запускаем sudo tcpdump -ni eth1 -E aes128-hmac96:0xcddb026df02cef75cb3883cb170c12a5 'ip[20:4] = 0x420e154f'

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру