web-dev-qa-db-ja.com

PSKでIKEv1アグレッシブモードを実行しているCisco ASA 5505の実際のリスク

ネットワークにVPN接続を提供するために、ネットワークで実行されているベンダー設定のCisco ASA 5505があります。 ASA 5505は私たちが購入したものですが、ベンダーによって設定されており、管理アクセス権はありません。

ペンテスト中、私たちはこのデバイスのポート500が外部に開放されていることを認識しているためです。それに対してike-scanを実行すると、次の出力が得られます。

Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

1.2.3.4 Aggressive Mode Handshake returned
    HDR=(CKY-R=e1e93d76445283e9)
    SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
    KeyExchange(128 bytes)
    Nonce(20 bytes)
    ID(Type=ID_IPV4_ADDR, Value=1.2.3.4)
    Hash(20 bytes)
    VID=12f5f28c457168a9702d9fe274cc0100 (Cisco Unity)
    VID=09002689dfd6b712 (XAUTH)
    VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
    VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
    VID=1f07f70eaa6514d3b0fa96542a500100 (Cisco VPN Concentrator)

Ending ike-scan 1.9: 1 hosts scanned in 0.023 seconds (43.78 hosts/sec).  1 returned handshake; 0 returned notify

A-Z、a-z、0-9で最大6文字のハンドシェイクに対してpsk-crackを実行しても、結果は得られませんでした。 7、8、またはそれ以上の文字を現実的に試すことができるハッシュキャットセットアップはありません。

また、IKEv1スロットにはリソース枯渇の脆弱性があることにも注意してください。 http://cxsecurity.com/issue/WLB-2006080002

私はこのスクリプトを使用してこれを簡単にテストしました:

#!/bin/bash

while true
do
    ike-scan 1.2.3.4 -B 10M -q
done

そして予想通り、ポート500は応答を停止します。 VPN接続のもう一方の端も同じように動作すると思います。

これらがあったようです 前の質問 これに似ていますが、追加のクエリがいくつかあります。

  1. アグレッシブモードでIKEv1を使用することは、実行可能な代替策があるので避けるべきだと思います。これにより、PSKクラッキングの問題が緩和されます。
  2. このようにポート500が開いているということは、ベンダーがASA 5505で着信VPN接続を受け入れるように設定しているということですか、それとも発信接続の副作用であるのでしょうか?
  3. リソース枯渇の脆弱性に対する修正はありますか? UDPを使用しているため、ブロックするのは難しいと思います。
  4. ベンダーへの推奨は、セットアップを変更してほしいということですか?
ciscoike
2
Cybergibbons

それぞれの番号での質問への回答:

  1. はい。プレーンモードとIKEv2を優先します。これらはcrypto mapお使いのCiscoルーター。

  2. 開いたポート500はより正確には500/udp/IP ISAKMP(使用される鍵交換プロトコル)に必要です。

  3. はい。ポートの開放500/udp/IPを公開する理由はありません。許可されたリモート管理者から許可されたパブリックIPに対してのみ開く必要があります。さらに、ISAKMPおよびesp制御ACLは、終了ルールによって閉じられる必要があります。

    access-list 112 permit esp Host authorized_Origin_IP Host router_IP
access-list 112 permit udp Host authorized_Origin_IP Host router_IP eq isakmp
access-list 112 deny esp any any log
access-list 112 deny udp any any eq isakmp log

    攻撃の試みを記録します。

  4. 執筆のスキルに応じてcrypto mapアドバイス(および公式ポリシー)は、ファイアウォールへのアクセスを可能にするVPNの構成を担当する管理者になることです。これは、企業ネットワークを保護する最も重要なポイントへのアクセスポイントだからです。

1
dan

2番目の質問では、Cisco 5505でPSKを使用してIKEv1をアグレッシブモードで許可する主な動機は、従来のCisco VPNクライアントがデバイスへのインバウンドVPN接続を確立できるようにすることです。

このデバイスがネットワークからベンダーネットワークへのIPSec VPNトンネルを保護するために使用されている場合、これは必要ありません(これらはメインモードで機能します)。

おそらく、デバイスを管理するためにCisco VPNクライアントを使用しますが、PSKを使用するアグレッシブモードでIKEv1を必要としない他のオプション(AnyConnectなど)を使用できます。これで最初の質問(および4番目の質問)に到達します。

0
timro