Hallo liebe TechNet-Community!
Dies ist mein erster Beitrag in diesem Forum und ich hoffe ich hab das Thema in den richtigen Bereich eingeordnet.
Ich bin Student der IT-Sicherheit und schreibe grade an meiner Masterarbeit. Meine Aufgabe ist es, eine IPsec VPN-Verbindung unter Nutzung des IKEv2 aufzubauen. Das ganze geschieht mit einer reinen zertifikatbasierten Authentifizierung. Die VPN-Verbindung wird
mittels eines Windows Server 2012 und dem internen VPN-Client von Windows 7 hergestellt.
Der Aufbau der Verbindung zwischen beiden Kommunikationsparteien funktioniert wunderbar. Zertifikate habe ich mit der Zertifizierungsstelle des Windows Server selber erstellt.
Im zuge meiner Arbeit, ist es nun meine Aufgabe, das Schlüsselaustauschprotokoll IKEv2 genauer unter die Lupe zu nehmen. Das mitschneiden des Schlüsselaustausches via Wiresharke ist kein Problem. Um jetzt Den IKEv2 genauer zu untersuchen, möchte ich die Verschlüsselten
Pakete entschlüsseln lassen. Dies ist mit Wireshark möglich, jedoch werden 4 Schlüssel benötigt. (SK_ei, SK_er, SK_ai, SK_ar)
Mein Problem ist nun, diese Schlüssel unter Windows zu finden. Habe in den letzten 2 Wochen das Internet durchforstet, und keine richtige Lösung gefunden.
Mein erster Versuch war das IKE Auditing einzuschalten und über die erzeugten Audits den Schlüssel zu finden. Hierbei werden viele Informationen zur erzeugten SA aufgelistet, jedoch nicht die gewünschten Schlüssel.
Der zweite Versuch war es, sich über die Microsoft Management Console(MMC.exe) und dem Snap-In IP-Sicherheitsmonitor, die Informationen der erzeugten SA anzuschauen. Auch hier werden viele Informationen angezeigt, jedoch keine
Schlüssel.
Der dritte Versuch war das Oakley logging zu aktivieren. Jedoch funktioniert dies nur bis Windows Vista. Momentan überlege ich, mittels einer VM dies zu testen. Hab ich jedoch bisher noch nicht gemacht, da ich hoffe, dass es auch eine Lösung mit meiner
Konfiguration gibt.
Auf diesem Link werden die oben genanten Methoden weiter erläutert.
(Leider kann ich noch keine Links anfügen, werden nachgefügt sobalt ich kann)
Mein nächster Versuch war es, mithilfe des Befehls "Netsh" IPsec Events mitzuschneiden. Dies Funktioniert auch sehr gut, jedoch wird dort nur ein Schlüssel angezeigt und ich kann nicht wirklich verifizieren ob dies auch (zumindest) ein richtiger Schlüssel ist.
Bisher habe ich leider nichts weiteres gefunden, was mir beim Logging oder auslesen des Schlüssel behilflich seien kann.
Habe im Internet auch Ansätze mit einem Linux Server gefunden (StrongSwan2). Dort lassen sich wohl recht einfach die Schlüssel loggen, jedoch ist ein Teil der Aufgabe meiner Masterarbeit, zu beurteilen inwiefern sich Microsoft an die Umsetzung des RFC von IKEv2
gehalten haben. Sollte ich jedoch keine Lösung finden, wird dies auch als Versuch durchgeführt.
Meine Frage an euch ist nun, ob jemand Erfahrungen in diesem Bereich hat, oder eine Idee hat, wie ich noch an den Schlüssel herankommen kann.
Ich bedanke mich schon mal bei denen, die sich den Beitrag bis hier durchgelesen haben und hoffe das Ihr mir weiterhelfen könnt.
Beste Grüße
Oli