Ключевые слова:, ipsec, security, sniffer, freebsd, (найти похожие документы)
From: kegf <ilgiz@reid.ru.>
Newsgroups: email
Date: Mon, 09 Feb 2009 17:02:14 +0000 (UTC)
Subject: Атака на IPsec
Как говорится, что сделано человеком, человеком же и ломается. Ломаются
и программы и сайты и локальные машины пользователей и трафик, бегающий
между компьютерами. Раньше, во времена хабов, можно было слушать сеть и
читать переписку соседа, используя легкий сниффер.
Сейчас, в век информационных технологий, технологии защиты информации
становятся все более и более совершенными. При передаче данных всё чаще
используется шифрование, которое в какой-то степени позволяет думать,
что переданная информация будет защищена. Однако, как говорят службы
информационной безопасности, вся работа по защите сводится к минимизации
рисков её утечки и не гарантируют полной её неприкосновенности. Стандарт
IPsec, как частный и довольно распространённый случай, прежде всего
предназначен для минимизации риска расшифровывания трафика при его
перехвате, поэтому при передаче информации трафик шифруется. Также,
ключевой особенностью этого стандарта, является, так называемый,
handshake (приветствие, рукопожатие) обоих хостов, выявляющий уровень
доверия между ними. Именно на эту сторону и следует посмотреть
внимательнее, так как если мы сможем втерется в доверие к одному из
серверов, то самых непредсказуемых последствий нам не избежать.
Подойдя вплотную к проблеме взлома IPsec протокола сразу нужно смотреть
на порт ike-scan (/usr/ports/security/ike-scan). Описывать подробно я
его не буду, для его использования всё равно необходимо прочитать man к
нему. Просто дам скриншот его успешного применения (первая команда -
сканировать подсеть, вторая сканировать хост и сохранить данные в файл
host.psk):
В комплекте (как подарок) с портом поставляется замечательная утилита,
предназначенная для того, чтобы ваш домашний компьютер не простаивал
просто так, а работал в полную свою мощность - psk-crack. Чтобы её
использовать, необходимо сохранить данные, пришедшие от взламываемого
хоста:
В случае удачной расшифровки (есть брутфорс) нам остается вычислить
только ID удаленного хоста (не все проверяют этот параметр), сеть с
маской, принадлежащий атакуемому серверу и, если он настроен на
road-warrior режим, мы уже сможем успешно на него залогиниться. Если же
на удаленном хосте сделано все правильно и анонимусам вход запрещен, то
нужен будет трюк с IP адресом.
Итоги
Как оказалось, наш горячо любимый IPsec протокол имеет свои горячие
дыры. Но только при неправильном его использовании. Специалисты ещё при
приёме стандарта ругали его за недостаточную защищенность. Но это не
повод для того чтобы отказываться от такого гибкого и отлично
зарекомендовашего себя инструмента для построения защищенных туннелей.
Приведу маленький список мер, при котором подобная атака на ваш сервер
окажется просто пшиком, не влияющим на сохранность конфеденциальности
вашей информации:
Не используйте Agressive Mode!
Если нет необходимости, не используйте road-warrior mode (anonymous
конфигурация в ipsec-tools, IP_RW в Racoon2).
В механизме аутентификации (Auth algorithm) ни в коем случае не
используйте MD5 хеши, малая криптостойкость этого алгоритма давно
доказана. В случае использования IPsec-tools используйте SHA1, в случае
Racoon2 - SHA1, усиленный алгоритмом HMAC
Используйте выделенные каналы, выданные вашим провайдером, только для
вашей сети.
По умолчанию, ID хостов являются их внешние адреса, меняйте умолчания на
FQDN или e-mail.
По возможности не используйте Xauth.
Используйте Racoon2, использующий IKEv2 (поддерживает и первую версию)
(порт /usr/ports/security/racoon2)
Добрый вечер. Как я понимаю, речь в статье идет только об AH (Authentication Header - аутентифицирующий заголовок)? Нигде не вижу упоминаний ESP и используемых им алгоритмов шифрования.
+
имхо взлом ipsec это когда между отправителем и получателем вклинился дядя вася, успешно перехватил данные и расшифровал их, и при условии что его никто не заметил.
сама статья полезна и интересна, пойду экспериментировать))