如果已知预共享密钥,则使用 IPSEC 传输模式解密 ESP 数据包

如果已知预共享密钥,则使用 IPSEC 传输模式解密 ESP 数据包

我正在阅读有关 IPSec 的文章,想知道是否可以使用 wireshark 解密使用预共享密钥的 IPSEC 传输模式会话中的 ESP 数据包。从阅读此主题,我了解到,即使预共享密钥已知,由于 ISAKMP 过程,解密 ESP 数据包仍然不是一件容易的事。看起来需要路由器的核心转储才能获取 wireshark 所需的加密和身份验证密钥。

这是我对此的准确解释吗?有人能解释一下 ISAKMP 如何让来自端点的信息变得如此必要吗?我很难找到不需要比我更多的密码学背景知识的解释(例如,RFC 2408)(但也许是因为无法用其他方式来解释?)

答案1

听起来你理解得没错。你需要来自其中一个端点的数据是因为 ISAKMP 会定期更改密钥,而 Cisco 没有提供访问该信息的“好方法”。每一端的转储仅让你看到当前密钥是什么。如果其中一个对等点有一个实用程序来检索更改的协商密钥,那么就没有必要了。

编辑:需要注意的是,他使用虚拟路由器来实现这一点,对于不熟悉 GNS3/Dynamips/Dynagen 的人来说,这不是真正的路由器。他还表示,如果您使用某些 Linux 服务而不是思科路由器创建此 VPN,那么您将能够毫无问题地查询当前密钥。

答案2

Microsoft 网络监视器可能会“绑定更高”,以便让您看到解密后的数据包。

相关内容