一.概述
1.1.测试目的
此方案介绍了某公司SSLVPN国密算法测试。
1.2.测试规范
此方案为比较全面的测试用例,测试前,需要仔细核对需要测试的功能项,无需测试的内容进行相应的删减测试前,确认测试环境是否已准备完成;测试中,需要对所测试内容的过程/结果与用户逐一确认,同时进行相应的截图留存,为后续输出测试报告做准备;测试后,整体测试报告交由相关人员进行结果确认。
二、环境部署
2.1.拓扑规划
三、国密算法SSLVPN测试
3.1.某公司VPN加密卡激活
根据国家商用密码合规要求,设备账号体系采用“三权分立”的管理模式,使用安全管理员账号登录web控制台(首次登录使用需要先创建 在安全管理员角色下创建账号),在【系统设置】→【密码卡管理】中激活密码卡。(提前将密码卡插入设备的USB接口)
3.2.某公司VPN启用中国商用密码标准
在【系统设置】→【SSLVPN选项】→【系统选项】中启用中国商用密码标准
3.3.发布VPN资源
四、SSL VPN配置
4.1 创建用户
在【SSL VPN设置】→【用户管理】创建测试用户:test,采用本地密码认证,密码:test
4.2 创建资源
在【SSL VPN设置】→【资源管理】创建L3VPN资源和TCP资源,资源地址均为192.168.1.100的80端口,即通过L3VPN和TCP访问192.168.1.100的web网站。
4.3 角色授权
新建test角色,将上一步创建的L3VPN资源和TCP资源授权给test用户。
4.4 用户登录
PC1电脑IP为10.*.*.100,浏览器拨入https://10.*.*.1登录SSLVPN,成功登录后如下图:
点击对应的资源,跳转到发布的资源页面,即内网的web网站:http://192.168.1.100
五、数据包分析
在SSLVPN设备后台抓取客户端和设备之间的数据交互,利用wireshark分析。
注:普通的wireshark无法分析国密算法的数据包,使用支持国密算法的wireshark分析数据。
客户端登录SSLVPN时,由于访问的是https页面,会进行tls协议交互,此时协商使用的加密套件是Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),属于国际商用密码标准。
在点击访问L3VPN/TCP资源后,此时产生的数据使用中国商用密码标准进行加密。
使用的加密套件是Cipher Suite: TLS1_TXT_ECC_SM2_WITH_SM4_128_CBC_SM3 (0xe013)
通过以上数据包的wireshark分析得出:SSLVPN进行资源访问时,加密算法使用的是中国商用密码标准。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-11-26 12:53
技术员3级 
