Configuración anónima para mapache

0

Mi firewall me avisó de un intento de conexión a través de racoon, el demonio de administración de claves IKE para configurar un túnel IPSec. Estaba claro que cuando busqué la dirección IP 122.228.10.51 esto era sospechoso. Por supuesto, no voy a aceptar la conexión, pero lo que me intriga es por qué 122.228.10.51 intentó establecer una conexión entrante con el mapache.

Me preguntaba si podría haber algo en mi lado que pudiera estar sucio, así que empecé a hurgar un poco.

  1. Las páginas del manual para racoon (8) se mencionan en Files

    /private/etc/racoon/racoon.conf       default configuration file.
    /private/etc/racoon/psk.txt           default pre-shared key file.
    
  2. Eché un vistazo en /private/etc/racoon/psk.txt primero.

    # IPv4/v6 addresses
    # 10.160.94.3   asecretkeygoeshere
    # 172.16.1.133  asecretkeygoeshere
    # 3ffe:501:410:ffff:200:86ff:fe05:80fa  asecretkeygoeshere
    # 3ffe:501:410:ffff:210:4bff:fea2:8baa  asecretkeygoeshere
    
    # USER_FQDN
    # macuser@localhost     somethingsecret
    # FQDN
    # kame          hoge
    

    Y aunque no reconozco las dos últimas líneas, todas estas líneas están comentadas, por lo que no debería afectar a nada. El último (kame) parece ser un resto del proyecto KAME .

    Por favor corríjame, si me equivoco, y hágame saber si sabe algo sobre esto. Tengo la sensación de que todos son legítimos.

  3. Luego eché un vistazo en /private/etc/racoon/racoon.conf . Las últimas líneas dicen:

    # Allow third parties the ability to specify remote and sainfo entries
    # by including all files matching /var/run/racoon/*.conf
    # This line should be added at the end of the racoon.conf file
    # so that settings such as timer values will be appropriately applied.
    include "/var/run/racoon/*.conf" ;
    

    Eso me intrigó. Dos archivos .conf están en /var/run/racoon/

    -rw-------  1 root  daemon   846 26 Sep 15:11 /var/run/racoon/anonymous.conf
    -rw-------  1 root  daemon  1106 27 Sep 15:11 /var/run/racoon/fd00:c2bf:92ac:5561:a594:6f1f:1446:dd5
    

    Ambos fueron modificados recientemente.

  4. El último es un dirección local de IPv6 . El primero, anonymous.conf parecía interesante.

    # BackToMyMac
    remote anonymous {
      exchange_mode aggressive;
      doi ipsec_doi;
      situation identity_only;
      verify_identifier off;
      generate_policy on;
      shared_secret keychain_by_id "btmmdns:9298494.members.btmm.icloud.com.";
      nonce_size 16;
      lifetime time 15 min;
      initial_contact on;
      support_proxy on;
      nat_traversal force;
      proposal_check claim;
      proposal {
        encryption_algorithm aes;
        hash_algorithm sha256;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 15 min;
      }
      proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 15 min;
      }
    }
    
    sainfo anonymous { 
      pfs_group 2;
      lifetime time 10 min;
      encryption_algorithm aes;
      authentication_algorithm hmac_sha256,hmac_sha1;
      compression_algorithm deflate;
    }
    

    Bien, entonces es una configuración de Volver a mi Mac , pero ¿por qué utiliza el modo agresivo, que según las páginas del manual para mapache (8) no es recomendable? En las páginas del manual se menciona en Consideraciones de seguridad

      

    No se recomienda el uso del modo agresivo IKE fase 1, como se describe en    enlace

    Según esa página es porque

      

    El protocolo de intercambio de claves de Internet (IKE) revela información de nombre de usuario cuando se utiliza el modo agresivo para la autenticación secreta compartida.

Tal vez estoy demasiado paranoico al respecto, pero ¿podría ser que la conexión entrante al mapache desde 122.228.10.51 estaba usando el anonymous.conf ?

    
pregunta Alex Ixeras 28.09.2018 - 16:35
fuente

0 respuestas

Lea otras preguntas en las etiquetas