IPSEC ですべてが暗号化されている Windows ネットワーク上の 2 つのサーバー間の通信のトラブルシューティングを試みています。ソース サーバーに Wireshark をインストールし、通信が失敗した時点でトラフィックをキャプチャしましたが、いくつかの ARP パケットと DNS パケットを除き、キャプチャされた他のすべては ESP (Encapsultating Security Payload) 暗号化パケットです。
中間者キャプチャを実行している場合は理解できますが、ソース マシン上にいます。Wireshark キャプチャをスタックのさらに上位 (復号化が完了した後) に指定する方法はありますか? 重要であれば、ソース マシンは Hyper-V VM として実行されている W2K8R2 です。
答え1
ESP トラフィックを直接検査および分析する場合は、Wireshark のバージョンを libcrypt にリンクする必要があります。詳細はこちら。
答え2
自分の質問に答えるために (または少なくとも解決策を述べるために)、Netmon は同じトラフィックを問題なくキャプチャして解析できます。Netmon キャプチャを保存して Wireshark で開くと、すべてが ESP パケットとして表示されます。どうやら Wireshark はパケットの暗号化解除を好まないようです。Netmon はローカル キーを使用して暗号化解除しているのでしょうか? いずれにせよ、答えは Netmon を使用することです。トラフィックの分析にはそれほど適していませんが、エンドポイントからキャプチャした場合は ESP パケットを開きます。
答え3
おそらく、実際のインターフェースではなく、IPSec VPN サービスによって提供される仮想インターフェースでキャプチャするように Wireshark に指示する必要があるだけです。キャプチャ -> インターフェースまたはキャプチャ -> オプションに移動し、ドロップダウンからインターフェースを選択します。
答え4
Wireshark で、[編集]/[設定] に移動し、[プロトコル] リストを展開します。リストで ESP を見つけて、キー情報を入力します。