ネットワークにVPN接続を提供するために、ネットワークで実行されているベンダー設定のCisco ASA 5505があります。 ASA 5505は私たちが購入したものですが、ベンダーによって設定されており、管理アクセス権はありません。
ペンテスト中、私たちはこのデバイスのポート500が外部に開放されていることを認識しているためです。それに対してike-scanを実行すると、次の出力が得られます。
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
1.2.3.4 Aggressive Mode Handshake returned
HDR=(CKY-R=e1e93d76445283e9)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
KeyExchange(128 bytes)
Nonce(20 bytes)
ID(Type=ID_IPV4_ADDR, Value=1.2.3.4)
Hash(20 bytes)
VID=12f5f28c457168a9702d9fe274cc0100 (Cisco Unity)
VID=09002689dfd6b712 (XAUTH)
VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
VID=1f07f70eaa6514d3b0fa96542a500100 (Cisco VPN Concentrator)
Ending ike-scan 1.9: 1 hosts scanned in 0.023 seconds (43.78 hosts/sec). 1 returned handshake; 0 returned notify
A-Z、a-z、0-9で最大6文字のハンドシェイクに対してpsk-crackを実行しても、結果は得られませんでした。 7、8、またはそれ以上の文字を現実的に試すことができるハッシュキャットセットアップはありません。
また、IKEv1スロットにはリソース枯渇の脆弱性があることにも注意してください。 http://cxsecurity.com/issue/WLB-2006080002
私はこのスクリプトを使用してこれを簡単にテストしました:
#!/bin/bash
while true
do
ike-scan 1.2.3.4 -B 10M -q
done
そして予想通り、ポート500は応答を停止します。 VPN接続のもう一方の端も同じように動作すると思います。
これらがあったようです 前の質問 これに似ていますが、追加のクエリがいくつかあります。
それぞれの番号での質問への回答:
はい。プレーンモードとIKEv2を優先します。これらはcrypto map
お使いのCiscoルーター。
開いたポート500はより正確には500/udp/IP
ISAKMP(使用される鍵交換プロトコル)に必要です。
はい。ポートの開放500/udp/IP
を公開する理由はありません。許可されたリモート管理者から許可されたパブリックIPに対してのみ開く必要があります。さらに、ISAKMPおよびesp制御ACLは、終了ルールによって閉じられる必要があります。
access-list 112 permit esp Host authorized_Origin_IP Host router_IP
access-list 112 permit udp Host authorized_Origin_IP Host router_IP eq isakmp
access-list 112 deny esp any any log
access-list 112 deny udp any any eq isakmp log
攻撃の試みを記録します。
執筆のスキルに応じてcrypto map
アドバイス(および公式ポリシー)は、ファイアウォールへのアクセスを可能にするVPNの構成を担当する管理者になることです。これは、企業ネットワークを保護する最も重要なポイントへのアクセスポイントだからです。
2番目の質問では、Cisco 5505でPSKを使用してIKEv1をアグレッシブモードで許可する主な動機は、従来のCisco VPNクライアントがデバイスへのインバウンドVPN接続を確立できるようにすることです。
このデバイスがネットワークからベンダーネットワークへのIPSec VPNトンネルを保護するために使用されている場合、これは必要ありません(これらはメインモードで機能します)。
おそらく、デバイスを管理するためにCisco VPNクライアントを使用しますが、PSKを使用するアグレッシブモードでIKEv1を必要としない他のオプション(AnyConnectなど)を使用できます。これで最初の質問(および4番目の質問)に到達します。