Il mio firewall mi ha avvisato di un tentativo di connessione tramite racoon, il daemon di gestione delle chiavi di IKE per configurare un tunnel IPSec. Era chiaro che quando ho cercato l'indirizzo IP 122.228.10.51 questo era sospetto. Naturalmente, non accetterò la connessione, ma ciò che mi intriga è il motivo per cui 122.228.10.51 ha provato a stabilire una connessione in entrata con il racoon.
Mi stavo chiedendo se ci potrebbe essere qualcosa sulla mia parte che potrebbe essere sporca, così ho iniziato a curiosare un po '.
-
Le pagine man di racoon (8) menzionate sotto File
/private/etc/racoon/racoon.conf default configuration file. /private/etc/racoon/psk.txt default pre-shared key file. -
Ho dato un primo sguardo in
/private/etc/racoon/psk.txt.# IPv4/v6 addresses # 10.160.94.3 asecretkeygoeshere # 172.16.1.133 asecretkeygoeshere # 3ffe:501:410:ffff:200:86ff:fe05:80fa asecretkeygoeshere # 3ffe:501:410:ffff:210:4bff:fea2:8baa asecretkeygoeshere # USER_FQDN # macuser@localhost somethingsecret # FQDN # kame hogeE anche se non riconosco le ultime due righe, tutte queste righe sono commentate, quindi non dovrebbe influenzare nulla. L'ultimo (kame) sembra essere un remainder del progetto KAME .
Per favore correggimi, se ho torto e per favore fammi sapere se sai qualcosa su questi. Ho la sensazione che siano tutti legittimi.
-
Ho quindi avuto uno sguardo in
/private/etc/racoon/racoon.conf. Le ultime righe dicono:# Allow third parties the ability to specify remote and sainfo entries # by including all files matching /var/run/racoon/*.conf # This line should be added at the end of the racoon.conf file # so that settings such as timer values will be appropriately applied. include "/var/run/racoon/*.conf" ;Questo mi ha incuriosito. Due
.conffile sono in/var/run/racoon/-rw------- 1 root daemon 846 26 Sep 15:11 /var/run/racoon/anonymous.conf -rw------- 1 root daemon 1106 27 Sep 15:11 /var/run/racoon/fd00:c2bf:92ac:5561:a594:6f1f:1446:dd5Entrambi sono stati modificati solo di recente.
-
Quest'ultimo è un indirizzo locale IPv6 . Il primo,
anonymous.confsembrava interessante.# BackToMyMac remote anonymous { exchange_mode aggressive; doi ipsec_doi; situation identity_only; verify_identifier off; generate_policy on; shared_secret keychain_by_id "btmmdns:9298494.members.btmm.icloud.com."; nonce_size 16; lifetime time 15 min; initial_contact on; support_proxy on; nat_traversal force; proposal_check claim; proposal { encryption_algorithm aes; hash_algorithm sha256; authentication_method pre_shared_key; dh_group 2; lifetime time 15 min; } proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; lifetime time 15 min; } } sainfo anonymous { pfs_group 2; lifetime time 10 min; encryption_algorithm aes; authentication_algorithm hmac_sha256,hmac_sha1; compression_algorithm deflate; }Ok, quindi è una configurazione Back To My Mac , ma perché usa la modalità aggressiva, che secondo le pagine man di racoon (8) non è raccomandata. Nelle pagine man è menzionato sotto Considerazioni sulla sicurezza
The use of IKE phase 1 aggressive mode is not recommended, as described in http://www.kb.cert.org/vuls/id/886601
Secondo quella pagina è perché
The Internet Key Exchange (IKE) protocol discloses username information when Aggressive Mode is used for shared secret authentication.
Forse sono troppo paranoico al riguardo, ma potrebbe essere che la connessione in entrata a racoon da 122.228.10.51 usasse anonymous.conf ?