next up previous contents index
Next: Test mit einem automatischen Up: Testen der IPSec Installation Previous: Test mit einem manuellen

Test mit Tcpdump

Um zu kontrollieren, ob die Pakete auch wirklich verschlüsselt werden, also ob IPSec fehlerfrei funktioniert, sollte man mit einem Sniffer (z.B. Tcpdump) den Datenverkehr zwischen den Gateways aufzeichnen und analysieren.

Das nachfolgende Beispiel zeigt jeweils einen Ausschnitt einer aufgezeichneten Telnet-Sitzung zwischen PC1 und PC4.

pc1:> telnet pc4
Dabei wurden im Subnetz, quasi zwischen den zwei Gateways die IP Paket mithilfe von TCPDUMP(1) aufgezeichnet.
schnueffel:> tcpdump -w aufzeichnung.dat

Die erste Aufzeichnung zeigt die IP-Pakete ohne IPSec und der zweite Ausschnitt zeigt dann die IP-Paket mit laufendem IPSec im Hexadezimal Format (-x).

>tcpdump -x -r aufzeichnung.dat

...

03:04:42.587978 pcheger16.informatik.uni-muenchen.de.telnet > 10.0.20.1.1051: P 117:136(19) ack 94 win 32736 (DF)
                         4500 003b 4014 4000 3f06 aaaa 0a00 28fe
                         0a00 1401 0017 041b f1f1 0848 65fd 5ac5
                         5018 7fe0 c80e 0000 0d0a 7063 6865 6765
                         7231 3620 6c6f
03:04:42.597978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: . ack 136 win 16060 (DF)
                         4500 0028 0274 4000 3f06 e85d 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac5 f1f1 085b
                         5010 3ebc 60d8 0000 fffd 0100 3338

03:04:43.157978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 94:95(1) ack 136 win 16060 (DF)
                         4500 0029 0275 4000 3f06 e85b 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac5 f1f1 085b
                         5018 3ebc face 0000 66fd 0100 3338
                                             ^^----------------------------- f

03:04:43.427978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 95:96(1) ack 137 win 16060 (DF)
                         4500 0029 0277 4000 3f06 e859 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac6 f1f1 085c
                         5018 3ebc ffcc 0000 61fd 0100 3338
                                             ^^----------------------------- a

03:04:43.597978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 96:97(1) ack 138 win 16060 (DF)
                         4500 0029 0279 4000 3f06 e857 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac7 f1f1 085d
                         5018 3ebc fdca 0000 63fd 0100 3338
                                             ^^----------------------------- c

03:04:43.747978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 97:98(1) ack 139 win 16060 (DF)
                         4500 0029 027b 4000 3f06 e855 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac8 f1f1 085e
                         5018 3ebc f5c8 0000 6bfd 0100 3338
                                             ^^----------------------------- c

03:04:43.887978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 98:99(1) ack 140 win 16060 (DF)
                         4500 0029 027d 4000 3f06 e853 0a00 1401
                         0a00 28fe 041b 0017 65fd 5ac9 f1f1 085f
                         5018 3ebc fbc6 0000 65fd 0100 3338
                                             ^^----------------------------- e

03:04:43.997978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 99:100(1) ack 141 win 16060 (DF)
                         4500 0029 027f 4000 3f06 e851 0a00 1401
                         0a00 28fe 041b 0017 65fd 5aca f1f1 0860
                         5018 3ebc f4c4 0000 6cfd 0100 3338
                                             ^^----------------------------- l

03:04:44.077978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 100:101(1) ack 142 win 16060 (DF)
                         4500 0029 0281 4000 3f06 e84f 0a00 1401
                         0a00 28fe 041b 0017 65fd 5acb f1f1 0861
                         5018 3ebc f3c2 0000 6dfd 0100 3338
                                             ^^----------------------------- m


03:04:44.237978 10.0.20.1.1051 > pcheger16.informatik.uni-muenchen.de.telnet: P 101:102(1) ack 143 win 16060 (DF)
                         4500 0029 0283 4000 3f06 e84d 0a00 1401
                         0a00 28fe 041b 0017 65fd 5acc f1f1 0862
                         5018 3ebc ffc0 0000 61fd 0100 3338
                                             ^^----------------------------- a

...

Es können alle Eingaben abgelesen werden. In diesem Beispiel kann man das login fackelma erkennen. Da Paßwörter bei einer Telnet-Sitzung auch unverschlüsselt über das Netz gesendet werden, ist es mit dieser Methode auch möglich das Paßwort zu lesen.

Verwendet man IPSec ist der gesamte Datenverkehr verschlüsselt:

> tcpdump -x -r aufzeichnung-ipsec.dat

05:07:16.717978 pc2.columbien.de > pc3.columbien.de: ip-proto-50 76
                         4500 0060 007d 0000 4032 28f1 0a00 1e01
                         0a00 1efe 0000 0203 0000 000e a948 f85d
                         920a 8c82 0f87 439d bc38 a020 a5e0 51cd
                         bb01 f7cb 7d89
(30)
05:07:16.737978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 0149 0000 4032 2825 0a00 1efe
                         0a00 1e01 0000 0202 0000 000e 00df 78d4
                         36cb 472b 9d9a 846e 058b 83eb 3710 1c33
                         5ab3 06ac 7de6
(31)
05:07:17.727978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 92
                         4500 0070 014a 0000 4032 2814 0a00 1efe
                         0a00 1e01 0000 0202 0000 000f c56d 3fe2
                         52a3 f5d9 4102 b697 bc52 5ca4 3c22 0999
                         02c3 5638 0cdd
(34)
05:07:19.197978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 014b 0000 4032 2823 0a00 1efe
                         0a00 1e01 0000 0202 0000 0010 e1d9 96fe
                         c250 9a19 3067 9b4e 8ef8 cd74 7d13 4ef3
                         dc39 8745 6776

05:07:19.557978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 014c 0000 4032 2822 0a00 1efe
                         0a00 1e01 0000 0202 0000 0011 6ad9 4315
                         4083 524d 5e3b 3b4f 39cb 29e6 f890 b8fa
                         e50d 2ab9 39bd

05:07:19.847978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 014d 0000 4032 2821 0a00 1efe
                         0a00 1e01 0000 0202 0000 0012 473d bc3a
                         b015 d783 1423 3d21 5b7f c4c2 26f1 eb47
                         1a82 39a9 fef6

05:07:20.077978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 014e 0000 4032 2820 0a00 1efe
                         0a00 1e01 0000 0202 0000 0013 759f 1699
                         e8d2 9dca 7548 aa8b 04b9 bdec f4fa 862b
                         664f be82 ee7a

05:07:20.247978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 014f 0000 4032 281f 0a00 1efe
                         0a00 1e01 0000 0202 0000 0014 0f19 6291
                         6cda 751d 8496 e0fa f760 b5c0 5131 a5ab
                         936c 1354 1366

05:07:20.547978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 0150 0000 4032 281e 0a00 1efe
                         0a00 1e01 0000 0202 0000 0015 3741 bddd
                         deb1 403b 71ab 4219 3861 8bac 106e 01b3
                         4db9 84af ec84

05:07:20.847978 pc3.columbien.de > pc2.columbien.de: ip-proto-50 76
                         4500 0060 0151 0000 4032 281d 0a00 1efe
                         0a00 1e01 0000 0202 0000 0016 bedc e19d
                         65eb 4c86 956f fc98 9cf6 ae98 5c10 e961
                         e64f b6ce d1e5

Das login ist nicht mehr abzulesen! Um Fehler auszuschließen sollte bei den Tests ein zusätzlicher Rechner die Aufzeichnungen vornehmen.



Copyright Munich Network Management Team