上一篇提到了IPSec

也說明了我想像中的IPSec實作方式


但是,事情絕對不是憨人我想的這麼簡單
沒有任何問題的,IPSec 的確成功的加密
可惜就是MSN太聰明,這真的不知道該褒還是該貶
MSN在傳送文字訊息的時候,並直接把訊息封包丟給對方
而是選擇性的傳送(實際上的機制是怎麼運作我不了解)
透過MSN Server把訊息轉送給對方,應該是用來達到所謂離線訊息功能吧

當我跟我老大在測試的時候,第一波封包在我敲入訊息按下Enter後傳出
直接指向的位置是我老大的IP,接下來很正常的在我這邊看到了IPSec紀錄
已經對我老大的IP進行ESP加密,好景不常阿,接著發送第二個文字訊息
阿,好樣的,竟然指向MSN Server,當然Server不提供IPSec(這一定的嘛)
所以資料又變明文在網路上跑來跑去了,真是太慘啦!!!

不過接著我們使用遠端協助服務,我登入我老大的電腦後
封包顯示全部都是ESP,完全不知道是什麼,證明點對點傳送是ESP加密
使用IPSec並不會有太大的問題,就算會增加CPU Loading也只是輕微
至於MSN的部份,除非可以修改它,讓它直接指向對方IP丟文字封包
否則我看使用IPSec這套是無解了,想加密,就用第三方軟體吧..

本次測試使用我自己建立的 IPSec Policy
使用字串產生金鑰(其餘還可選擇AD或是憑證產生)
採被動式加密,強度是中等(高等強度在Windows Server 2008才有)
中等強度即使用 3DES加密 + SHA1 或 MD5 整合
IKE亦採用 3DES + SHA1
封包擷取使用 WireShark,環境是Windows XP SP3與Windows XP SP2
網路環境兩方皆使用Hinet ADSL 浮動式IP (PPPoE),沒有區域網路
防火牆一邊有佈署,另一邊沒部署(其實不影響)

這次測試的時候忘了把封包抓取節錄下來
下次再補上,以上報告完畢!



相關閱讀:
IPSec by Rmrug
IPSec實錄 by Rmrug

rmrug 發表在 痞客邦 PIXNET 留言(0) 人氣()