思科公司 IKEv1在VPN配置中仍然很流行。尽管对v2的需求更多,但我的大多数vpn配置都是基于IKE v1的。 我发表了一篇文章“ 思科公司 Router IKE v2站点到站点IPSec 虚拟专用网配置”,以快速展示v1和v2之间的区别以及如何进行v2配置。 最近,一些漏洞扫描工具对我的IKE v1配置发出了警告。

病征 

找到IKE v1漏洞,它列出的严重性级别为高。

根据思科文档,

当处理特制IP版本4(IPv4)或IP版本6(IPv6)数据包时,Cisco IOS软件,IOS-XE软件和IOS-XR软件包含一个漏洞。无需身份验证和最终用户交互,即可远程利用此漏洞。成功利用此漏洞可能允许信息泄露,这使攻击者可以了解有关受影响的设备和网络的信息。
利用以下协议和端口通过IPv4和IPv6数据包进行攻击的攻击媒介:

  • 使用UDP端口500的IKE
  • 使用UDP端口848的GDOI
  • 使用UDP端口4500的IKE NAT-T
  • 使用UDP端口4848的GDOI NAT-T

已为该漏洞分配常见漏洞和披露(CVE)标识符CVE-2016-6415。

一些用于验证端口的命令:

显示控制平面主机的开放端口|我500
显示控制平面主机的开放端口|我4500
显示控制平面主机的开放端口|我848
显示控制平面主机的开放端口|我4848

sh ip插座|我500
sh ip插座|我4500
sh ip插座|我848
sh ip插座|我4848

显示udp |我500
显示udp |我4500
显示udp |我848
显示udp |我4848

router#show运行|包括加密地图|隧道保护ipsec |加密gdoi
路由器#显示ip袜子
router#show ip套接字|公司500
 17       –listen–          12.8.12.222     500   0   0  1011   0
 17(v6)   –listen–          FE80::1           500   0   0 20011   0
 17       –listen–          12.8.12.222    4500   0   0  1011   0
 17(v6)   –listen–          FE80::1          4500   0   0 20011   0

解:

思科安全咨询有更多详细信息,但基本上没有解决方法。

“解决方法

没有针对此漏洞的解决方法。
建议管理员实施入侵防御系统(IPS)或入侵检测系统(IDS),以帮助检测和阻止尝试利用此漏洞的攻击。
建议管理员监视受影响的系统。”

禁用IKEv1将限制暴露。但是,如果vpn(ikev1)是强制性服务,请在面向Internet的接口上添加访问控制列表,以阻止udp 4500和500与选定的受信任对等方隔离。这将锁定您的IKEv1会话,并且不允许未经请求的IKEv1数据包。


interface GigabitEthernet0/0
 description Internet
 ip address 35.11.11.11 255.255.255.248
 ip access-group tACL-Policy in
 ip accounting output-packets

ip access-list extended tACL-Policy
    permit udp host 16.16.13.14 host 35.11.11.11 eq isakmp
    permit udp host 16.16.13.14 host 35.11.11.11 eq 848
    permit udp host 16.16.13.14 host 35.11.11.11 eq non500-isakmp
    permit udp host 16.16.13.14 host 35.11.11.11 eq 4848
    deny udp any host 35.11.11.11 eq isakmp
    deny udp any host 35.11.11.11 eq 848
    deny udp any host 35.11.11.11 eq non500-isakmp
    deny udp any host 35.11.11.11 eq 4848
    permit ip any any
 
 

校验:

我们可以使用ike-scan来验证配置。这是最新的1.9下载链接

来源分布: ike-scan-1.9.tar.gz
视窗二进制文件: ike-scan-win32-1.9.zip

ike-scan是命令行IPSec 虚拟专用网扫描程序&用于发现,指纹识别和测试IPsec 虚拟专用网系统的测试工具。它构造IKE Phase-1数据包并将其发送到指定的主机,并显示收到的所有响应。

在应用访问列表之前

C:\Tools\ike-scan-win32-1.9>ike-scan.exe --sport=0 35.11.11.11
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
35.11.11.11   Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=70dd9f5de5a9509e)

Ending ike-scan 1.9: 1 hosts scanned in 0.052 seconds (19.23 hosts/sec).  0 returned handshake; 1 returned notify

C:\Tools\ike-scan-win32-1.9>

应用访问列表后

C:\Tools\ike-scan-win32-1.9>ike-scan.exe --sport=0 35.11.11.11
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

Ending ike-scan 1.9: 1 hosts scanned in 2.441 seconds (0.41 hosts/sec).  0 returned handshake; 0 returned notify

C:\Tools\ike-scan-win32-1.9>

参考:

通过 约翰

发表评论