Ich versuche, die Kommunikation zwischen zwei Servern in einem Windows-Netzwerk zu beheben, in dem IPSEC alles verschlüsselt. Ich habe Wireshark auf dem Quellserver installiert und den Datenverkehr an dem Punkt aufgezeichnet, an dem die Kommunikation fehlschlägt. Abgesehen von einigen ARPs und DNS-Paketen handelt es sich bei allem, was aufgezeichnet wird, jedoch um ein mit ESP (Encapsulating Security Payload) verschlüsseltes Paket.
Ich würde das verstehen, wenn ich eine Man-in-the-Middle-Erfassung durchführen würde, aber ich bin auf der Quellmaschine. Gibt es eine Möglichkeit, anzugeben, dass Wireshark weiter oben im Stapel erfasst (nachdem die Entschlüsselung abgeschlossen ist)? Die Quellmaschine ist W2K8R2, das als Hyper-V-VM ausgeführt wird, falls das wichtig ist.
Antwort1
Wenn Sie den ESP-Verkehr direkt prüfen und analysieren möchten, muss Ihre Version von Wireshark mit libcrypt verknüpft sein.Weitere Details hier.
Antwort2
Um meine eigene Frage zu beantworten (oder zumindest meine Lösung zu erwähnen): Netmon kann denselben Datenverkehr problemlos erfassen und analysieren. Ich habe die Netmon-Erfassung gespeichert und in Wireshark geöffnet, und alles wird immer noch als ESP-Pakete angezeigt. Anscheinend entschlüsselt Wireshark die Pakete nicht gerne. Vielleicht verwendet Netmon dazu den lokalen Schlüssel? In jedem Fall war die Antwort, Netmon zu verwenden. Es ist bei weitem nicht so gut für die Analyse des Datenverkehrs, aber es öffnet ESP-Pakete, wenn Sie sie von einem Endpunkt erfassen.
Antwort3
Sie müssen Wireshark wahrscheinlich nur anweisen, auf der vom IPSec-VPN-Dienst bereitgestellten virtuellen Schnittstelle zu erfassen, und nicht auf der tatsächlichen Schnittstelle. Gehen Sie zu Erfassen->Schnittstellen oder zu Erfassen->Optionen und wählen Sie die Schnittstelle aus der Dropdown-Liste aus.
Antwort4
Gehen Sie in Wireshark zu Bearbeiten/Einstellungen und erweitern Sie die Protokollliste. Suchen Sie in der Liste nach ESP und geben Sie Ihre Schlüsselinformationen ein.