思科公司 IKEv1在VPN配置中仍然很流行。尽管对v2的需求更多，但我的大多数vpn配置都是基于IKE v1的。 我发表了一篇文章“ 思科公司 Router IKE v2站点到站点IPSec 虚拟专用网配置”，以快速展示v1和v2之间的区别以及如何进行v2配置。 最近，一些漏洞扫描工具对我的IKE v1配置发出了警告。

病征 

找到IKE v1漏洞，它列出的严重性级别为高。

根据思科文档，

当处理特制IP版本4（IPv4）或IP版本6（IPv6）数据包时，Cisco IOS软件，IOS-XE软件和IOS-XR软件包含一个漏洞。无需身份验证和最终用户交互，即可远程利用此漏洞。成功利用此漏洞可能允许信息泄露，这使攻击者可以了解有关受影响的设备和网络的信息。
利用以下协议和端口通过IPv4和IPv6数据包进行攻击的攻击媒介：

• 使用UDP端口500的IKE

• 使用UDP端口848的GDOI

• 使用UDP端口4500的IKE NAT-T

• 使用UDP端口4848的GDOI NAT-T

已为该漏洞分配常见漏洞和披露（CVE）标识符CVE-2016-6415。

一些用于验证端口的命令：

显示控制平面主机的开放端口|我500
显示控制平面主机的开放端口|我4500
显示控制平面主机的开放端口|我848
显示控制平面主机的开放端口|我4848

sh ip插座|我500
sh ip插座|我4500
sh ip插座|我848
sh ip插座|我4848

显示udp |我500
显示udp |我4500
显示udp |我848
显示udp |我4848

router＃show运行|包括加密地图|隧道保护ipsec |加密gdoi
路由器＃显示ip袜子
router＃show ip套接字|公司500
 17       –listen–          12.8.12.222     500   0   0  1011   0
 17(v6)   –listen–          FE80::1           500   0   0 20011   0
 17       –listen–          12.8.12.222    4500   0   0  1011   0
 17(v6)   –listen–          FE80::1          4500   0   0 20011   0

解：

思科安全咨询有更多详细信息，但基本上没有解决方法。

“解决方法

没有针对此漏洞的解决方法。
建议管理员实施入侵防御系统（IPS）或入侵检测系统（IDS），以帮助检测和阻止尝试利用此漏洞的攻击。
建议管理员监视受影响的系统。”

禁用IKEv1将限制暴露。但是，如果vpn（ikev1）是强制性服务，请在面向Internet的接口上添加访问控制列表，以阻止udp 4500和500与选定的受信任对等方隔离。这将锁定您的IKEv1会话，并且不允许未经请求的IKEv1数据包。

interface GigabitEthernet0/0
 description Internet
 ip address 35.11.11.11 255.255.255.248
 ip access-group tACL-Policy in
 ip accounting output-packets

ip access-list extended tACL-Policy
    permit udp host 16.16.13.14 host 35.11.11.11 eq isakmp
    permit udp host 16.16.13.14 host 35.11.11.11 eq 848
    permit udp host 16.16.13.14 host 35.11.11.11 eq non500-isakmp
    permit udp host 16.16.13.14 host 35.11.11.11 eq 4848
    deny udp any host 35.11.11.11 eq isakmp
    deny udp any host 35.11.11.11 eq 848
    deny udp any host 35.11.11.11 eq non500-isakmp
    deny udp any host 35.11.11.11 eq 4848
    permit ip any any
 
 

校验：

我们可以使用ike-scan来验证配置。这是最新的1.9下载链接

来源分布： ike-scan-1.9.tar.gz
视窗二进制文件： ike-scan-win32-1.9.zip

ike-scan是命令行IPSec 虚拟专用网扫描程序&用于发现，指纹识别和测试IPsec 虚拟专用网系统的测试工具。它构造IKE Phase-1数据包并将其发送到指定的主机，并显示收到的所有响应。

在应用访问列表之前

C:\Tools\ike-scan-win32-1.9>ike-scan.exe --sport=0 35.11.11.11
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
35.11.11.11   Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=70dd9f5de5a9509e)

Ending ike-scan 1.9: 1 hosts scanned in 0.052 seconds (19.23 hosts/sec).  0 returned handshake; 1 returned notify

C:\Tools\ike-scan-win32-1.9>
应用访问列表后
C:\Tools\ike-scan-win32-1.9>ike-scan.exe --sport=0 35.11.11.11
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

Ending ike-scan 1.9: 1 hosts scanned in 2.441 seconds (0.41 hosts/sec).  0 returned handshake; 0 returned notify

C:\Tools\ike-scan-win32-1.9>

参考：

多个思科产品中的IKEv1信息泄露漏洞
艾克扫描常见问题

分享这个：
推特
脸书
像这样：
喜欢 载入中...


	
有关