Riesgo en el mundo real de que Cisco ASA 5505 ejecute el modo agresivo IKEv1 con PSK

Navega tus respuestas
2

Tenemos un proveedor configurado Cisco ASA 5505 que se ejecuta en nuestra red para proporcionar conectividad VPN en sus redes. Nosotros compramos el ASA 5505, pero el proveedor lo configuró y no tenemos acceso administrativo.

Durante una prueba de lápiz, estamos conscientes de que este dispositivo tiene un puerto 500 abierto al mundo exterior. Al ejecutar ike-scan contra él, obtenemos el siguiente resultado: 

Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

1.2.3.4 Aggressive Mode Handshake returned
    HDR=(CKY-R=e1e93d76445283e9)
    SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
    KeyExchange(128 bytes)
    Nonce(20 bytes)
    ID(Type=ID_IPV4_ADDR, Value=1.2.3.4)
    Hash(20 bytes)
    VID=12f5f28c457168a9702d9fe274cc0100 (Cisco Unity)
    VID=09002689dfd6b712 (XAUTH)
    VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
    VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
    VID=1f07f70eaa6514d3b0fa96542a500100 (Cisco VPN Concentrator)

Ending ike-scan 1.9: 1 hosts scanned in 0.023 seconds (43.78 hosts/sec).  1 returned handshake; 0 returned notify

Ejecutando psk-crack contra el apretón de manos hasta 6 caracteres con una A-Z, a-z, 0-9 no ha dado resultados. No tenemos una configuración de hashcat que nos permita probar de forma realista 7, 8 o más caracteres.

También observamos que existe una vulnerabilidad de agotamiento de recursos para las ranuras IKEv1: enlace

He probado esto brevemente con este script: 

#!/bin/bash

while true
do
    ike-scan 1.2.3.4 -B 10M -q
done

Y como se esperaba, el puerto 500 deja de responder. Sospecho que el otro extremo de la conexión VPN se comportaría igual.

Veo que ha habido estos pregunta anterior similar a esto, pero tengo algunas consultas adicionales.

  1. Supongo que se debería evitar el uso de IKEv1 en modo agresivo ya que hay alternativas viables. Esto mitigaría el problema con el craqueo de PSK.
  2. ¿El puerto 500 abierto así significa que el proveedor ha configurado el ASA 5505 para que acepte conexiones VPN entrantes, o podría ser un efecto secundario de la conexión saliente?
  3. ¿Existe alguna solución para la vulnerabilidad del agotamiento de recursos? Supongo que ya que está utilizando UDP es difícil de bloquear.
  4. ¿La recomendación al proveedor debería ser que nos gustaría que cambien la configuración?
pregunta Cybergibbons 04.03.2015 - 12:39
fuente

2 respuestas

1

Respuestas a sus preguntas con sus respectivos números:

  1. Sí. Prefiero el modo plano y IKEv2. Estos se definen a través de crypto map en su enrutador de Cisco.

  2. el puerto 500 abierto es más precisamente 500/udp/IP necesario para ISAKMP (el protocolo de intercambio de claves utilizado).

  3. Sí. La apertura del puerto 500/udp/IP no tiene ninguna razón para ser público. Debe abrirse solo para la IP pública permitida del administrador remoto permitido. Además, el ISAKMP y el control de ACL deben cerrarse mediante una regla de cierre: 

    access-list 112 permit esp host authorized_origin_IP host router_IP
access-list 112 permit udp host authorized_origin_IP host router_IP eq isakmp
access-list 112 deny esp any any log
access-list 112 deny udp any any eq isakmp log

    para registrar cualquier intento de ataque.

  4. Dependiendo de su habilidad para escribir crypto map , su consejo (y su política oficial) podría ser convertirse en el administrador encargado de configurar cualquier VPN que permita el acceso a cualquiera de sus cortafuegos. Debido a que este es un punto de acceso al punto más importante para proteger la red de su empresa.

respondido por el daniel Azuelos 02.08.2015 - 04:25
fuente
0

En su segunda pregunta, la motivación principal para permitir IKEv1 en modo agresivo con PSK en un Cisco 5505 es permitir que el cliente tradicional de Cisco VPN establezca conexiones VPN entrantes al dispositivo.

Si este dispositivo se usa para asegurar túneles VPN IPSec desde su red a / desde la red del proveedor, esto no es necesario (pueden funcionar en modo principal).

Quizás utilicen el cliente VPN de Cisco para administrar el dispositivo, pero hay otras opciones que podrían usarse (por ejemplo, AnyConnect) que no requerirían IKEv1 en modo agresivo con PSK. Esto llega a tu primera pregunta (y cuarta).

    
respondido por el timro 02.07.2015 - 21:43
fuente

Lea otras preguntas en las etiquetas

Explotación de una vulnerabilidad potencial de fijación de sesión de la aplicación web ASP.NET ¿Se puede usar un servidor OpenSSHD comprometido para cargar una carga maliciosa a un cliente?