Configurazione anonima per racoon

0

Il mio firewall mi ha avvisato di un tentativo di connessione tramite racoon, il daemon di gestione delle chiavi di IKE per configurare un tunnel IPSec. Era chiaro che quando ho cercato l'indirizzo IP 122.228.10.51 questo era sospetto. Naturalmente, non accetterò la connessione, ma ciò che mi intriga è il motivo per cui 122.228.10.51 ha provato a stabilire una connessione in entrata con il racoon.

Mi stavo chiedendo se ci potrebbe essere qualcosa sulla mia parte che potrebbe essere sporca, così ho iniziato a curiosare un po '.

  1. Le pagine man di racoon (8) menzionate sotto File

    /private/etc/racoon/racoon.conf       default configuration file.
    /private/etc/racoon/psk.txt           default pre-shared key file.
    
  2. Ho dato un primo sguardo in /private/etc/racoon/psk.txt .

    # IPv4/v6 addresses
    # 10.160.94.3   asecretkeygoeshere
    # 172.16.1.133  asecretkeygoeshere
    # 3ffe:501:410:ffff:200:86ff:fe05:80fa  asecretkeygoeshere
    # 3ffe:501:410:ffff:210:4bff:fea2:8baa  asecretkeygoeshere
    
    # USER_FQDN
    # macuser@localhost     somethingsecret
    # FQDN
    # kame          hoge
    

    E anche se non riconosco le ultime due righe, tutte queste righe sono commentate, quindi non dovrebbe influenzare nulla. L'ultimo (kame) sembra essere un remainder del progetto KAME .

    Per favore correggimi, se ho torto e per favore fammi sapere se sai qualcosa su questi. Ho la sensazione che siano tutti legittimi.

  3. Ho quindi avuto uno sguardo in /private/etc/racoon/racoon.conf . Le ultime righe dicono:

    # Allow third parties the ability to specify remote and sainfo entries
    # by including all files matching /var/run/racoon/*.conf
    # This line should be added at the end of the racoon.conf file
    # so that settings such as timer values will be appropriately applied.
    include "/var/run/racoon/*.conf" ;
    

    Questo mi ha incuriosito. Due .conf file sono in /var/run/racoon/

    -rw-------  1 root  daemon   846 26 Sep 15:11 /var/run/racoon/anonymous.conf
    -rw-------  1 root  daemon  1106 27 Sep 15:11 /var/run/racoon/fd00:c2bf:92ac:5561:a594:6f1f:1446:dd5
    

    Entrambi sono stati modificati solo di recente.

  4. Quest'ultimo è un indirizzo locale IPv6 . Il primo, anonymous.conf sembrava interessante.

    # BackToMyMac
    remote anonymous {
      exchange_mode aggressive;
      doi ipsec_doi;
      situation identity_only;
      verify_identifier off;
      generate_policy on;
      shared_secret keychain_by_id "btmmdns:9298494.members.btmm.icloud.com.";
      nonce_size 16;
      lifetime time 15 min;
      initial_contact on;
      support_proxy on;
      nat_traversal force;
      proposal_check claim;
      proposal {
        encryption_algorithm aes;
        hash_algorithm sha256;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 15 min;
      }
      proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 15 min;
      }
    }
    
    sainfo anonymous { 
      pfs_group 2;
      lifetime time 10 min;
      encryption_algorithm aes;
      authentication_algorithm hmac_sha256,hmac_sha1;
      compression_algorithm deflate;
    }
    

    Ok, quindi è una configurazione Back To My Mac , ma perché usa la modalità aggressiva, che secondo le pagine man di racoon (8) non è raccomandata. Nelle pagine man è menzionato sotto Considerazioni sulla sicurezza

    The use of IKE phase 1 aggressive mode is not recommended, as described in http://www.kb.cert.org/vuls/id/886601

    Secondo quella pagina è perché

    The Internet Key Exchange (IKE) protocol discloses username information when Aggressive Mode is used for shared secret authentication.

Forse sono troppo paranoico al riguardo, ma potrebbe essere che la connessione in entrata a racoon da 122.228.10.51 usasse anonymous.conf ?

    
posta Alex Ixeras 28.09.2018 - 16:35
fonte

0 risposte

Leggi altre domande sui tag