Wireshark e IPSec

5

Estou tentando solucionar problemas de comunicação entre dois servidores em uma rede do Windows em que o IPSEC está criptografando tudo. Instalei wireshark no servidor de origem e capturei o tráfego no ponto em que a comunicação está falhando, mas além de alguns ARPs e pacotes DNS, tudo o mais que é capturado é um pacote criptografado ESP (Encapsultating Security Payload).

Eu entenderia isso se estivesse fazendo uma captura man-in-the-middle, mas estou na máquina de origem. Existe uma maneira de especificar que o Wireshark capture mais a pilha (após a descriptografia ser concluída)? A máquina de origem é o W2K8R2 em execução como uma VM do Hyper-V, se isso for importante.

    
por Sean Earp 23.01.2010 / 22:17

4 respostas

3

Se você deseja inspecionar e analisar o tráfego ESP diretamente, sua versão do Wireshark precisa estar vinculada ao libcrypt. Mais detalhes aqui .

    
por 24.01.2010 / 02:43
3

Para responder a minha própria pergunta (ou pelo menos mencionar minha solução), o Netmon é capaz de capturar e analisar o mesmo tráfego sem problemas. Salvei a captura do Netmon e a abri no Wireshark, e tudo ainda aparece como pacotes ESP. Aparentemente o Wireshark não gosta de descriptografar os pacotes. Talvez Netmon use a chave local para fazer isso? Em qualquer caso, a resposta foi usar o Netmon. Não é tão bom para analisar o tráfego, mas ele abre pacotes de ESP se você os capturar de um endpoint.

    
por 24.01.2010 / 00:26
2

Você provavelmente só precisa dizer ao Wireshark para capturar na interface virtual fornecida pelo serviço VPN IPSec, em vez de na interface real. Vá para as interfaces de captura > ou para capturar > opções e selecione a interface no menu suspenso.

    
por 24.01.2010 / 02:14
2

No Wireshark, vá em Edit / Preferences e expanda a lista Protocol. Encontre ESP na lista e insira suas principais informações.

    
por 07.02.2013 / 19:30