Rischio reale di un Cisco ASA 5505 con modalità aggressiva IKEv1 con PSK

Naviga le tue risposte
2

Abbiamo un fornitore configurato Cisco ASA 5505 in esecuzione sulla nostra rete per fornire connettività VPN nelle loro reti. L'ASA 5505 è stato acquistato da noi ma configurato dal fornitore e non abbiamo accesso amministrativo.

Durante un test della penna, perché sappiamo che questo dispositivo ha la porta 500 aperta sul mondo esterno. Eseguendo ike-scan su di esso, otteniamo il seguente output: 

Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

1.2.3.4 Aggressive Mode Handshake returned
    HDR=(CKY-R=e1e93d76445283e9)
    SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
    KeyExchange(128 bytes)
    Nonce(20 bytes)
    ID(Type=ID_IPV4_ADDR, Value=1.2.3.4)
    Hash(20 bytes)
    VID=12f5f28c457168a9702d9fe274cc0100 (Cisco Unity)
    VID=09002689dfd6b712 (XAUTH)
    VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
    VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
    VID=1f07f70eaa6514d3b0fa96542a500100 (Cisco VPN Concentrator)

Ending ike-scan 1.9: 1 hosts scanned in 0.023 seconds (43.78 hosts/sec).  1 returned handshake; 0 returned notify

L'esecuzione di psk-crack contro la stretta di mano fino a 6 caratteri con A-Z, a-z, 0-9 non ha prodotto risultati. Non abbiamo una configurazione hashcat che ci consenta di provare 7, 8 o più caratteri in modo realistico.

Notiamo anche che esiste una vulnerabilità di esaurimento delle risorse per gli slot IKEv1: link

L'ho provato brevemente usando questo script: 

#!/bin/bash

while true
do
    ike-scan 1.2.3.4 -B 10M -q
done

E come previsto, la porta 500 smette di rispondere. Sospetto che l'altra estremità della connessione VPN si comporterebbe allo stesso modo.

Vedo che ci sono stati questi domanda precedente simile a questo, ma ho alcune query aggiuntive.

  1. Suppongo che l'utilizzo di IKEv1 in modalità aggressiva dovrebbe essere evitato in quanto esistono alternative valide. Ciò attenuerebbe il problema con il cracking di PSK.
  2. La porta 500 aperta in questo modo significa certamente che il fornitore ha configurato l'ASA 5505 per accettare connessioni VPN in entrata, oppure potrebbe essere un effetto collaterale della connessione in uscita?
  3. C'è qualche correzione alla vulnerabilità di esaurimento delle risorse? Presumo che stia usando UDP è difficile da bloccare.
  4. La raccomandazione al venditore dovrebbe essere che vorremmo che cambiassero il setup?
posta Cybergibbons 04.03.2015 - 12:39
fonte

2 risposte

1

Risposte alle tue domande con i rispettivi numeri:

  1. Sì. Preferisco la modalità semplice e IKEv2. Questi sono definiti attraverso crypto map sul tuo router Cisco.

  2. la porta 500 aperta è più precisamente 500/udp/IP necessaria per ISAKMP (il protocollo di scambio delle chiavi utilizzato).

  3. Sì. L'apertura del porto 500/udp/IP non ha motivo di essere pubblica. Dovrebbe essere aperto solo per l'IP pubblico consentito dall'amministratore remoto consentito. Inoltre l'ISAKMP e l'ACL di controllo esp dovrebbero essere chiusi da una regola di chiusura: 

    access-list 112 permit esp host authorized_origin_IP host router_IP
access-list 112 permit udp host authorized_origin_IP host router_IP eq isakmp
access-list 112 deny esp any any log
access-list 112 deny udp any any eq isakmp log

    per registrare qualsiasi tentativo di attacco.

  4. A seconda di quanto sei abile nello scrivere crypto map il tuo consiglio (e la politica ufficiale) potrebbe essere quello di diventare l'amministratore incaricato di configurare qualsiasi VPN che abiliti l'accesso a qualsiasi firewall. Perché questo è un punto di accesso al punto più importante per proteggere la rete aziendale.

risposta data 02.08.2015 - 04:25
fonte
0

Sulla seconda domanda, la motivazione principale per consentire a IKEv1 in modalità aggressiva con PSK su un Cisco 5505 è consentire al tradizionale client VPN Cisco di stabilire connessioni VPN in entrata al dispositivo.

Se questo dispositivo viene utilizzato per proteggere i tunnel VPN IPSec dalla rete alla / dalla rete del fornitore, questo non è necessario (quelli possono funzionare in modalità principale).

Forse usano il client Cisco VPN per gestire il dispositivo, ma ci sono altre opzioni che potrebbero essere utilizzate (ad esempio AnyConnect) che non richiederebbero IKEv1 in modalità aggressiva con PSK. Questo arriva alla tua prima domanda (e al 4 °).

    
risposta data 02.07.2015 - 21:43
fonte

Leggi altre domande sui tag

Hack: URL anymonous sul mio sito Joomla [Risolvi] [chiuso] TPM - numero di AIK e chiave di firma [chiuso]