500/udp - Pentesting IPsec/IKE VPN
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IPsec wird weithin als die Haupttechnologie zur Sicherung der Kommunikation zwischen Netzwerken (LAN-zu-LAN) und von entfernten Benutzern zum Netzwerkgateway (Remote-Zugriff) anerkannt und dient als Rückgrat für Unternehmens-VPN-Lösungen.
Die Einrichtung einer Sicherheitsassoziation (SA) zwischen zwei Punkten wird von IKE verwaltet, das unter dem Dach von ISAKMP arbeitet, einem Protokoll, das für die Authentifizierung und den Schlüsselaustausch entwickelt wurde. Dieser Prozess verläuft in mehreren Phasen:
Phase 1: Ein sicherer Kanal wird zwischen zwei Endpunkten erstellt. Dies geschieht durch die Verwendung eines Pre-Shared Key (PSK) oder von Zertifikaten, wobei entweder der Hauptmodus verwendet wird, der drei Nachrichtenpaare umfasst, oder aggressiver Modus.
Phase 1.5: Obwohl nicht obligatorisch, verifiziert diese Phase, bekannt als die Erweiterte Authentifizierungsphase, die Identität des Benutzers, der sich verbinden möchte, indem ein Benutzername und ein Passwort erforderlich sind.
Phase 2: Diese Phase ist der Aushandlung der Parameter zur Sicherung von Daten mit ESP und AH gewidmet. Sie ermöglicht die Verwendung von Algorithmen, die sich von denen in Phase 1 unterscheiden, um Perfect Forward Secrecy (PFS) zu gewährleisten, was die Sicherheit erhöht.
Standardport: 500/udp
Die IPSec-Konfiguration kann so vorbereitet werden, dass sie nur eine oder einige wenige Transformationen akzeptiert. Eine Transformation ist eine Kombination von Werten. Jede Transformation enthält eine Anzahl von Attributen wie DES oder 3DES als Verschlüsselungsalgorithmus, SHA oder MD5 als Integritätsalgorithmus, einen Pre-Shared Key als Authentifizierungstyp, Diffie-Hellman 1 oder 2 als Schlüsselverteilungsalgorithmus und 28800 Sekunden als Lebensdauer.
Dann ist das Erste, was Sie tun müssen, eine gültige Transformation zu finden, damit der Server mit Ihnen kommuniziert. Dazu können Sie das Tool ike-scan verwenden. Standardmäßig arbeitet Ike-scan im Hauptmodus und sendet ein Paket an das Gateway mit einem ISAKMP-Header und einem einzelnen Vorschlag mit acht Transformationen darin.
Je nach Antwort können Sie einige Informationen über den Endpunkt erhalten:
Wie Sie in der vorherigen Antwort sehen können, gibt es ein Feld namens AUTH mit dem Wert PSK. Das bedeutet, dass das VPN mit einem gemeinsamen Schlüssel konfiguriert ist (und das ist wirklich gut für einen Pentester). Der Wert der letzten Zeile ist ebenfalls sehr wichtig:
0 zurückgegebener Handshake; 0 zurückgegebene Benachrichtigung: Das bedeutet, dass das Ziel kein IPsec-Gateway ist.
1 zurückgegebener Handshake; 0 zurückgegebene Benachrichtigung: Das bedeutet, dass das Ziel für IPsec konfiguriert ist und bereit ist, eine IKE-Verhandlung durchzuführen, und entweder einer oder mehrere der von Ihnen vorgeschlagenen Transformationsmethoden akzeptabel sind (eine gültige Transformation wird in der Ausgabe angezeigt).
0 zurückgegebener Handshake; 1 zurückgegebene Benachrichtigung: VPN-Gateways antworten mit einer Benachrichtigungsnachricht, wenn keine der Transformationsmethoden akzeptabel ist (obwohl einige Gateways dies nicht tun, in diesem Fall sollte eine weitere Analyse und ein überarbeiteter Vorschlag versucht werden).
In diesem Fall haben wir bereits eine gültige Transformation, aber wenn Sie im 3. Fall sind, müssen Sie ein wenig brute-forcen, um eine gültige Transformation zu finden:
Zuerst müssen Sie alle möglichen Transformationen erstellen:
Und dann jede einzelne mit ike-scan brute-forcen (dies kann mehrere Minuten dauern):
Wenn der Brute-Force-Angriff nicht funktioniert hat, könnte es sein, dass der Server auch auf gültige Transformationsanfragen ohne Handshakes reagiert. Dann könntest du denselben Brute-Force-Angriff versuchen, aber im aggressiven Modus:
Hoffentlich wird eine gültige Transformation zurückgegeben. Sie können den gleichen Angriff mit iker.py versuchen. Sie könnten auch versuchen, Transformationen mit ikeforce zu brute-forcen:
In DH-Gruppe: 14 = 2048-Bit MODP und 15 = 3072-Bit
2 = HMAC-SHA = SHA1 (in diesem Fall). Das --trans
Format ist $Enc,$Hash,$Auth,$DH
Cisco empfiehlt, die Verwendung von DH-Gruppen 1 und 2 zu vermeiden, da sie nicht stark genug sind. Experten glauben, dass Länder mit vielen Ressourcen die Verschlüsselung von Daten, die diese schwachen Gruppen verwenden, leicht brechen können. Dies geschieht durch die Verwendung einer speziellen Methode, die sie darauf vorbereitet, die Codes schnell zu knacken. Auch wenn es viel Geld kostet, diese Methode einzurichten, ermöglicht es diesen mächtigen Ländern, die verschlüsselten Daten in Echtzeit zu lesen, wenn sie eine Gruppe verwenden, die nicht stark ist (wie 1.024-Bit oder kleiner).
Dann können Sie ike-scan verwenden, um zu versuchen, den Anbieter des Geräts zu entdecken. Das Tool sendet einen anfänglichen Vorschlag und hört auf zu wiederholen. Dann wird es den Zeit-Unterschied zwischen den empfangenen Nachrichten vom Server und dem passenden Antwortmuster analysieren, sodass der Pentester erfolgreich den VPN-Gateway-Anbieter identifizieren kann. Darüber hinaus verwenden einige VPN-Server die optionale Vendor ID (VID) Payload mit IKE.
Geben Sie die gültige Transformation an, falls erforderlich (unter Verwendung von --trans)
Wenn IKE entdeckt, welcher Anbieter es ist, wird es dies ausgeben:
Dies kann auch mit dem nmap-Skript ike-version erreicht werden.
Um den Hash erfassen zu dürfen, benötigen Sie eine gültige Transformation, die den Aggressive-Modus unterstützt, und die richtige ID (Gruppenname). Wahrscheinlich kennen Sie den gültigen Gruppennamen nicht, daher müssen Sie ihn brute-forcen. Dazu empfehle ich Ihnen 2 Methoden:
Versuchen Sie zunächst, eine Anfrage mit einer gefälschten ID zu stellen, um den Hash zu sammeln ("-P"):
Wenn kein Hash zurückgegeben wird, dann wird diese Methode des Brute-Forcings wahrscheinlich funktionieren. Wenn ein Hash zurückgegeben wird, bedeutet das, dass ein gefälschter Hash für eine gefälschte ID zurückgesendet wird, sodass diese Methode nicht zuverlässig ist, um die ID zu brute-forcen. Zum Beispiel könnte ein gefälschter Hash zurückgegeben werden (das passiert in modernen Versionen):
Aber wenn, wie ich gesagt habe, kein Hash zurückgegeben wird, dann solltest du versuchen, gängige Gruppennamen mit ike-scan zu brute-forcen.
Dieses Skript wird versuchen, mögliche IDs zu brute-forcen und wird die IDs zurückgeben, bei denen ein gültiger Handshake zurückgegeben wird (das wird ein gültiger Gruppenname sein).
Wenn du eine spezifische Transformation entdeckt hast, füge sie in den ike-scan-Befehl ein. Und wenn du mehrere Transformationen entdeckt hast, zögere nicht, eine neue Schleife hinzuzufügen, um sie alle auszuprobieren (du solltest sie alle ausprobieren, bis eine von ihnen richtig funktioniert).
Du kannst das Wörterbuch von ikeforce oder das in seclists mit gängigen Gruppennamen verwenden, um sie zu brute-forcen:
Or use this dict (ist eine Kombination der anderen 2 Dictionnaires ohne Wiederholungen):
iker.py verwendet ebenfalls ike-scan, um mögliche Gruppennamen zu bruteforcen. Es folgt seiner eigenen Methode, um eine gültige ID basierend auf der Ausgabe von ike-scan zu finden.
ikeforce.py ist ein Tool, das ebenfalls verwendet werden kann, um IDs zu bruteforcen. Dieses Tool wird versuchen, verschiedene Schwachstellen auszunutzen, die verwendet werden könnten, um zwischen einer gültigen und einer ungültigen ID zu unterscheiden (kann falsche Positiv- und Negativwerte haben, deshalb bevorzuge ich die Verwendung der ike-scan-Methode, wenn möglich).
Standardmäßig wird ikeforce zu Beginn einige zufällige IDs senden, um das Verhalten des Servers zu überprüfen und die Taktik zu bestimmen, die verwendet werden soll.
Die erste Methode besteht darin, die Gruppennamen durch Suche nach den Informationen Dead Peer Detection DPD von Cisco-Systemen zu bruteforcen (diese Informationen werden nur vom Server wiedergegeben, wenn der Gruppenname korrekt ist).
Die zweite Methode, die verfügbar ist, besteht darin, die Anzahl der Antworten zu überprüfen, die auf jeden Versuch gesendet werden, da manchmal mehr Pakete gesendet werden, wenn die korrekte ID verwendet wird.
Die dritte Methode besteht darin, nach "INVALID-ID-INFORMATION" als Antwort auf eine falsche ID zu suchen.
Schließlich, wenn der Server auf die Überprüfungen nichts zurückgibt, wird ikeforce versuchen, den Server zu bruteforcen und zu überprüfen, ob der Server mit einem Paket antwortet, wenn die korrekte ID gesendet wird. Offensichtlich besteht das Ziel des Bruteforcens der ID darin, den PSK zu erhalten, wenn Sie eine gültige ID haben. Dann müssen Sie mit der ID und dem PSK den XAUTH bruteforcen (wenn er aktiviert ist).
Wenn Sie eine spezifische Transformation entdeckt haben, fügen Sie sie im ikeforce-Befehl hinzu. Und wenn Sie mehrere Transformationen entdeckt haben, können Sie gerne eine neue Schleife hinzufügen, um sie alle auszuprobieren (Sie sollten sie alle ausprobieren, bis eine von ihnen richtig funktioniert).
(From the book Network Security Assessment: Know Your Network): Es ist auch möglich, gültige Benutzernamen zu erhalten, indem man die Verbindung zwischen dem VPN-Client und dem Server sniffed, da das erste aggressive Modus-Paket, das die Client-ID enthält, im Klartext gesendet wird.
Schließlich, wenn Sie eine gültige Transformation und den Gruppennamen gefunden haben und wenn der aggressive Modus erlaubt ist, dann können Sie sehr einfach den knackbar Hash erfassen:
Der Hash wird in hash.txt gespeichert.
Sie können psk-crack, john (unter Verwendung von ikescan2john.py) und hashcat verwenden, um den Hash zu cracken:
Aggressive mode IKE kombiniert mit einem Pre-Shared Key (PSK) wird häufig für Gruppenauthentifizierung verwendet. Diese Methode wird durch XAuth (Extended Authentication) ergänzt, das eine zusätzliche Schicht der Benutzerauthentifizierung einführt. Diese Authentifizierung nutzt typischerweise Dienste wie Microsoft Active Directory, RADIUS oder vergleichbare Systeme.
Beim Übergang zu IKEv2 ist ein bemerkenswerter Wandel zu beobachten, bei dem EAP (Extensible Authentication Protocol) anstelle von XAuth zur Authentifizierung von Benutzern verwendet wird. Diese Änderung unterstreicht eine Evolution der Authentifizierungspraktiken innerhalb sicherer Kommunikationsprotokolle.
So können Sie die Daten der Anmeldung mit fiked erfassen und sehen, ob es einen Standardbenutzernamen gibt (Sie müssen den IKE-Verkehr zu fiked
umleiten, um zu schnüffeln, was mit Hilfe von ARP-Spoofing erfolgen kann, mehr Infos). Fiked wird als VPN-Endpunkt fungieren und die XAuth-Anmeldeinformationen erfassen:
Auch, wenn Sie IPSec verwenden, versuchen Sie, einen MitM-Angriff durchzuführen und den gesamten Verkehr zu Port 500 zu blockieren. Wenn der IPSec-Tunnel nicht hergestellt werden kann, wird der Verkehr möglicherweise im Klartext gesendet.
Um den XAUTH zu brute-forcen (wenn Sie einen gültigen Gruppennamen id und den psk kennen), können Sie einen Benutzernamen oder eine Liste von Benutzernamen und eine Liste von Passwörtern verwenden:
Auf diese Weise wird ikeforce versuchen, sich mit jeder Kombination aus Benutzername:Passwort zu verbinden.
Wenn Sie eine oder mehrere gültige Transformationsmethoden gefunden haben, verwenden Sie diese einfach wie in den vorherigen Schritten.
In Kali wird VPNC verwendet, um IPsec-Tunnel einzurichten. Die Profile müssen im Verzeichnis /etc/vpnc/
gespeichert sein. Sie können diese Profile mit dem Befehl vpnc starten.
Die folgenden Befehle und Konfigurationen veranschaulichen den Prozess der Einrichtung einer VPN-Verbindung mit VPNC:
In diesem Setup:
Ersetzen Sie [VPN_GATEWAY_IP]
durch die tatsächliche IP-Adresse des VPN-Gateways.
Ersetzen Sie [VPN_CONNECTION_ID]
durch die Kennung für die VPN-Verbindung.
Ersetzen Sie [VPN_GROUP_SECRET]
durch das Gruppenpasswort des VPNs.
Ersetzen Sie [VPN_USERNAME]
und [VPN_PASSWORD]
durch die Authentifizierungsdaten des VPNs.
[PID]
symbolisiert die Prozess-ID, die zugewiesen wird, wenn vpnc
initiiert.
Stellen Sie sicher, dass tatsächliche, sichere Werte verwendet werden, um die Platzhalter bei der Konfiguration des VPNs zu ersetzen.
Network Security Assessment 3rd Edition
port:500 IKE
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)