安基網 首頁 安全 滲透測試 查看內容

通過簡單工具對IPsec VPN進行滲透測試

2020-1-21 13:42| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 現在企業的Gateway或是SD-WAN設備上都會提供IPsec VPN服務,一是為企業的分支機構提供遠程安全互通方法(Site to Site ----即企業其它分支結構與本地GW之間建立安全隧道), 再者是給企業的員工提供遠程接入公司內網的入口(如L2TP/IPsec, PPTP等)。在這個情況下,IPsec VPN的服務(UDP端口500, 4500 ...

現在企業的Gateway或是SD-WAN設備上都會提供IPsec VPN服務,一是為企業的分支機構提供遠程安全互通方法(Site to Site ----即企業其它分支結構與本地GW之間建立安全隧道), 再者是給企業的員工提供遠程接入公司內網的入口(如L2TP/IPsec, PPTP等)。

在這個情況下,IPsec VPN的服務(UDP端口500, 4500)將接受Internet的考驗,有些可能會嘗試破解密碼(Pre-shared Key)、或是偽造證書(Certification),從而達到進入企業內部私網的目的,有些則利用IPsec協議實現的漏洞(內存溢出、協議一致性不嚴謹等)從而獲得內部實現的信息達到破解目的,還有一些則是簡單粗暴的對網關進行DDoS攻擊。

所以,在IPsec VPN Server部署時為避免你的VPN Server因穿著太過暴露、招蜂引蝶,莫名其妙就被綠了,先自己做一次滲透測試能極大的提升你幸福感。

發現IPsec VPN

Nmap是很好用的一個端掃描工具

nmap –sU –p 500 172.12.0.10

參數-sU指定進行UDP掃描,-p指定掃描端口500,172.12.0.10目標主機地址(也可將目標地址放在一個列表中)

Ike-scan

Ike-scan是一個Linux下的命令行工具。該工具通過構造一個特殊的IKE請求報文發往目標VPN Server,將收到的任何信息記錄下來。Ike-scan缺省使用Main Mode

默認模式掃描:

ike-scan -M 172.12.0.11

#默認掃描

由上述掃描結果可知

SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024)

該IPsec VPN Server只是加密算法3DES,Hash算法為SHA1,認證方式為Pre-shared-key, GH組為2的參數組合策略。

#缺省掃描的報文分析

抓包可見,其發送的報文構造了IKE Header, 一個包含了8中transforms的Proposal:

  • 3DES-CBC-SHA1_1024_group2
  • 3DES-CBC-MD5_1024_group2
  • DES-CBC-SHA1_1024_group2
  • DES-CBC-MD5_1024_group2
  • 3DES-CBC-SHA1_768_group1
  • 3DES-CBC-MD5_768_group1
  • DES-CBC-SHA1_768_group1
  • DES-CBC-MD5_768_group1

定制掃描:

當IPsec VPN Server收到Proposal時,會將對端提供的Proposal與自己的策略組進行比對,僅當自己的策略組中某一個策略有與對方策略相同時,才會回應。因此,有些情況下,我們需要手動探索對方支持什么樣的策略組合,如:

ike-scan -M --trans=5,2,1,2,2 172.12.0.11

#定制掃描結果

參數transid提供了Proposal參數的定制化功能,一共有5個參數可供地址(參考RFC 2409):

# transid參數說明

第一個參數是Encryption Algorithm:

# encryption algorithm ID及描述

第二個參數Hash Algorithm:

# hash algorithm ID及描述

第三個參數Authentication Method:

# 認證模式及描述

第四個參數Group Description:

# 可選Group ID

第五個參數Group Type:

# Group Type

有經驗的測試人員應該立刻就能想到這個工具可用做后續的邊界測試和異常探索測試(根據RFC提供的字段大小提供不同的值進行探索測試)


野蠻模式掃描:

有些IPsec VPN Server提供的是野蠻模式的接入方式,使用Main Mode時,對方不響應,ike-scan也可指定野蠻模式掃描:

ike-scan -M --aggressive --trans=5,2,1,2,2 172.12.0.10

# 野蠻模式掃描

Fingerprint(指紋識別):

很多廠商的IKE報文中會攜帶一些vendor-ID以下發一些私有屬性,通過猜測vendor-ID有一定幾率識別出設備信息(毒雞湯:夢想還是要有的,萬一實現了呢?)。但,識別需要耗費一定的時間,所以加參數showbackoff=10(給10s去猜測):

# fingerprint sniff


PSK模式時的密碼嗅探:

在野蠻模式下(aggressive mode),IPsec沒有使用Diffie-Hellman算法來保護認證信息的交換,這就使黑客能截取到認證數據,然后使用離線破解工具(psk-crack)對密碼進行破解。

ike-scan --pskcrack --aggressive --id=peer 172.12.0.10 > tmppsk.txt
#嗅探認證信息,將認證信息保存到tmppsk.txt文件中

文件內容如下:

#認證數據嗅探保存的原始文件內容

通過編輯器刪除認證信息以外的行,僅保留認證相關數據(有9個:隔開的幾組數據),如:

# 刪除非必要行后的認證數據文件內容

利用離線破解工具,對數據進行字典破解(也可以暴力破解)

# 成功破解出PSK密碼: 123.com

其中mydict.txt是臨時維護一個字典(維護字典是黑客自我修養的體現---長期工作),tmppsk.txt是我們捕獲的認證信息。所謂字典其實就是一組你認為可能使用的密碼,如:

# 字典內容示例


弱點掃描

IPsec VPN的實現相對比較復雜,而復雜的東西往往弱點也會很多,很多安全相關的站點會定期更新一些知名軟件的缺陷報告,可參考進行檢測,如:

  • # National Vulnerability Database
  • # Secunia
  • # SecurityFocus

很多弱點掃描工具,如MetaSploit Framework, Qualys, Core Impcat都可用于VPN網關的弱點掃描。


攻擊測試:

通過xcap或是其他報文工具,抓取正常的IKE報文后,對必要的參數進行修改,檢查被測試網關的資源使用情況(CPU、Memory、Socket、FD等),在持續壓力情況下檢查正常用戶是否能正確建立隧道,從而評估VPN Server抵御DDoS攻擊的能力



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6783898645633696267/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱