终南山古墓之阴阳隧道机关密解
1 楔子:
宋朝末期,终南山上名曰王重阳之人历时数年建成一神秘古墓,因抗金义举失败,自居于内,虽生尤死,世人唤此古墓为“活死人墓”。而后,对王重阳情有独钟的林朝英移居古墓,并逝于墓内。王重阳想起林朝英一生对自己痴情如一,此番恩情铭刻于心,此时已人鬼殊途,心中顿感伤痛,于是悄悄修筑阴阳隧道进墓,以避开她的丫鬟弟子。王重阳对这位江湖旧侣的遗容熟视良久,仰声痛哭一场。
为免世人擅闯私入,王重阳在阴阳隧道两端放置一对采用坚如磐石的“ER路由器”修筑而成的石墙,此对石墙甚是奥妙,暗藏玄机,可通过各种机关控制隧道通断,并将该机关密图绘于本将留作自用的古墓石棺中,后由于小龙女和杨过躲避李莫愁纠缠,无意间发现该密图与隧道,不慎流传于世,但阴阳隧道之入口,隐蔽至极,终未有人寻觅。
2 第一节:了解阴阳隧道
通过阴阳隧道可快速进入古墓密室,其构成如下图所示
图1 ER 路由器IPSec VPN组网图
当正常建立IPSec隧道后,我们可以在安全联盟这个页面上查看到本端与对端出入方向的IPSec SA信息。
图2
在192.168.1.0网段一端局域网内的某PC上ping对端局域网网关地址能通。
图3
IPSec VPN隧道正常建立后的日志记录信息如下:
2000-01-01 00:14:54 [Notice] : WAN2接口物理连接已成功。
2000-01-01 00:14:54 [Notice] : 设置WAN2接口的IP地址192.200.200.232/24。
2000-01-01 00:14:56 [Notice] : ipsec2接口物理连接已成功。
2000-01-01 00:16:33 [Informational] : 192.200。200.232<->192.200.200.46[AR46-3]: ISAKMP SA建立完成 {加密算法=oakley_des_cbc_64 认证算法=oakley_sha DH组=DH1}。
2000-01-01 00:16:34 [Informational] : 安全策略[AR46-3]: IPSEC SA建立完成 {ESP 出SPI=0x61a1a16e 入SPI=0xedf43d51 加密算法=3DES_0 认证算法=HMAC_MD5 NATD=none DPD=关闭 PFS=禁止}。
开始IPSec VPN隧道排查之前,需要将ER路由器的日志记录等级打开到debug(7)。
图4
3 第二节:阴阳隧道机关之感应触发
有流量进入隧道才能触发IPSec VPN协商,可以在一端局域网内的某PC上长ping对端局域网网关地址,以保证有流量匹配进入VPN隧道的策略,触发两端VPN协商。
图5
1)如VPN隧道无法建立,请确认IPSec虚接口所绑定的Wan接口的链路状态是否为“已连接”,如果非“已连接”,则相应的IPSec Policy规则不会下发。这是最容易犯的错误之一:检查一下网线是否插紧,接口是否启用,WAN接口的PPPoE或者DHCP是否成功获取到IP,链路检测是否失败。
图6
图7
2)如果VPN隧道还是无法建立,请确认是否配置了到对端私网的路由(可以使用静态路由或策略路由),以策略路由为例,如下图所示
图8
3)还要检查触发流量是否被“安全专区”里的某些规则如出站通信策略配置所过滤掉了。
图9
4 第三节:阴阳隧道机关之销声匿迹
判断协商是否成功,最好的定位方法是抓包分析(使用端口镜像),这样可以最大限度的缩小范围:是第一阶段不成功?还是第二阶段不成功?根据抓包的结果再进一步定位。
这里如果是初始协商报文发出后,对方一直没有响应,请确认:
1) 对端地址是否可达(对端地址配置为域名时特别要注意DNS是否可以解析成功);
2) 对端IPSec VPN功能是否开启;
3) 与对端第一阶段的协商模式是否错配(H3C公司V3,V5平台野蛮模式,ID为IP类型时,使用主模式去协商,表现不一致);
4) 两端的IKE PEER(对等体)是否错配,如:对端地址(remote-addr),本端地址(local-addr)是否错配。另外ID类型不匹配,也会出现不响应的问题。
5 第四节:阴阳隧道机关之主攻模式
ISAKMP第一阶段主模式协商——IKE SA 协商
1)IKE PROPOSAL错配(对端和本端配置的IKE安全提议错配)
本端发起协商后,对端直接回应NO-PROPOSAL-CLOSEN如下图:
图10
日志中显示收到NO_PROPOSAL_CHOSEN:
Packet from 192.200.200.46:500: receive informational payload NO_PROPOSAL_CHOSEN
2)PSK错配(对端和本端的PSK不一致)
主模式协商最后阶段报错误,INVALID-PAYLOAD-TYPE,如下图
图11
日志中显示收到INVALID_PAYLOAD_TYPE
Packet from 192.200.200.46:500: receive informational payload INVALID_PAYLOAD_TYPE
6 第五节:阴阳隧道机关之野蛮攻击
ISAKMP第一阶段 野蛮模式协商 ——IKE SA 协商
1)IKE PROPOSAL错配
对端和本端配置的IKE安全提议配错,同主模式协商,同样都是提示NO_PROPOSAL_CHOSEN。
这里特别要注意,由于野蛮模式下携带的IKE PROPOSAL只有一个,对端主动发起协商的时候,只会带上最优先的PROPOSAL,而不是整个列表。这时候,本端IKE安全提议的选择就特别重要,必须和对方最优先的IKE PROPOSAL相一致。
2)PSK错配(对端和本端的PSK不一致)
本端先发起协商,对方响应并携带相应的认证信息后,如果发现PSK不匹配,最后本端会提示:INVALID_HASH_INFORMATION。
图12
并记录日志:
sending notification INVALID_HASH_INFORMATION to 192.200.200.46:500.
但是如果是对端先发起协商,本端响应并携带认证信息,对端如果非ER路由器,部分设备不一定会有响应。
3)ID类型及ID值错配
本端先发起协商,如果对端是非ER系列的其他路由器,如公司平台的设备,对端可能不会响应。
对端先发起的协商,ID类型或ID值配错的情况下,本端ER路由器会有如下提示,并会回应一个INVALID_ID_INFORMATION消息
sending notification INVALID_ID_INFORMATION to 192.200.200.46:500.
7 第六节:阴阳隧道机关之飞镖在天
ISAKMP第二阶段 快速模式协商 ——IPSec SA 协商
第一阶段协商成功后(主模式/野蛮模式),将进入第二阶段——快速模式(Quick Mode)。这个阶段用来协商IPSec SA,我们主要关注的配置是:IPSec PROPOSAL(IPSec 安全提议)、PFS(完善的前向安全性)、ACL(本端子网和对端的子网)
1)IPSec PROPOSAL错配(对端和本端配置的IPSec 安全提议错配)
对端会回应一个ISAKMP Informational消息,由于是加密的内容,抓包无法分析,但是日志中已经给出具体的原因:
receive informational payload NO_PROPOSAL_CHOSEN.
对端先发起协商,表现一样,提示NO_PROPOSAL_CHOSEN
2)PFS(完善的前向安全性)错配
表现形式和IPSec PROPOSAL错配一致,双方都会响应NO_PROPOSAL_CHOSEN的ISAKMP Informational消息。
但是ER路由器可以再明确一些具体内容,日志文件中会有错误类型的提示信息BAD_PROPOSAL_SYNTAX。
3)ACL错配
两端ACL设置不一致:ACL设置,两端必须是完全相等,或存在包含关系,其他形式下的ACL设置(如:交集)无法协商成功。
本端发起的协商,对端如果发现ACL不匹配,则对端会回应一个ISAKMP Informational消息INVALID_ID_INFORMATION,但是没有具体指明什么错误。
对端先发起协商,本端也响应INVALID_ID_INFORMATION,并发送相应的ISAKMP Informational消息。
8 第七节:阴阳隧道机关之总控密室
主要查看相应的日志信息,并结合抓包分析
提示NO_PROPOSAL_CHOSEN:表示相应阶段的安全提议设置错误(包括DH组/PFS的设置)
提示INVALID_ID_INFORMATION:表示配置不匹配,ACL/ID类型
提示INVALID_HASH_INFORMATION:表示PSK不匹配(野蛮模式)
提示INVALID_PAYLOAD_TYPE:表示PSK不匹配(主模式)
总的来说:在第一阶段,不管是主模式还是野蛮模式,协商交互(第一次握手)过以后发生的错误,基本可以判定为PSK错误,其他类型的错误基本在第一次握手时发生。
9 第八节:阴阳隧道机关之紫电穿云
穿越NAT与对端设备建立IPSec VPN的组网下,ER系列设备,默认就开启NAT穿越功能,在复杂组网中,注意确定中间是否有NAT设备,以及对端是否开启支持NAT穿越功能。NAT穿越需要在野蛮模式ESP下才能运行正常。
10 后记:
愿后生晚辈能反复研读,铭记于心,如有一日有缘人能发现终南山活死人墓的阴阳隧道入口,便可根据上述密解图谱一一破解隧道机关,出入古墓,可来去自如而幸免于难,期待英雄好汉,能在古墓发现更多秘密,使用包治百病的寒冰床,造福于百姓,使得天下百姓能免于病痛之苦!将这些失传已久的武功绝学发扬光大,以便抗击外辱、保家卫国!还有数不胜数的绝世珍宝,建下轰轰烈烈的伟业,永保天下天平!