在我的上一篇博客文章,我推荐了一些方法来避免我列出的十大IPsec vpn失败的原因中的前五个。正如我承诺的那样,在这篇博文中,我将通过解释如何避免进入我的前10名中的最后5名,以及描述一到两件需要注意的事情来结束这个特别的话题。
所以,直接说:
6.扩展认证(XAuth,当与弱预共享密钥和激进模式IKE/ISAKMP一起使用时,可能容易受到攻击)的不当使用。
IKE用于IPsec VPN中动态交换密钥材料、协商加密参数、对IPsec设备(对等体)进行认证。
在点到点VPN中,仅IPsec设备身份验证就足够了,但在远程访问VPN中,还需要对(人)VPN用户进行身份验证。
这种VPN用户认证确保了如果用户的笔记本电脑被盗,小偷将无法连接到VPN网关,因为即使IPsec设备认证成功,用户认证也将失败。
IPsec VPN网关主要通过三种方式对VPN用户进行认证:
*扩展认证与IKE (Xauth)。
* IKE的混合认证方式(“Hybrid认证”)。
* IKE Challenge/Response for Authenticated Cryptographic key (CRACK)。
Xauth可以如果使用弱预共享密钥对IKE阶段1的IPsec设备进行认证,特别是使用野蛮模式,则安全性较差。
当采用混合认证时,采用IKE阶段1使用RSA/DSA数字签名对VPN网关进行认证身份验证。一旦完成IKE阶段1,事务交换就开始了exchange由ISAKMP Xauth组成,对VPN进行认证客户端。
混合认证地址常规Xauth的潜在弱点,以及使用预共享密钥的组身份验证的问题(上次描述过)。
IKE CRACK修改IKE阶段1的协商方式为包含用户认证(不包含在常规IKE阶段1中)。当使用CRACK时,VPN客户端使用一个秘密进行身份验证key类型用户认证方法,VPN网关身份验证使用公钥身份验证。
所以,结果是Xauth可能是脆弱的。这是不使用预共享密钥和主动模式的另一个原因。
如果您有选择,例如在Cisco VPN 3000集中器和Cisco ASA 5500上,您可能会喜欢使用混合认证.
7.PKI使用的NTP和/或CRLs/OCSP进行DoS攻击的漏洞(使用数字签名认证时相关)。
正如您已经知道的,数字签名身份验证比预共享密钥身份验证要好得多。但是,如果不适当地保护数字签名身份验证,您需要部署的支持数字签名身份验证的PKI本身就很容易受到攻击。
与PKI一起使用的元素包括提供准确时钟的NTP服务器,以及证书撤销列表(CRL)分发点(CDP)或在线证书状态协议(OCSP)响应器,它们确保用于身份验证的证书是有效的,没有被暂停或撤销。
因此,当您部署数字签名认证和PKI时,请确保NTP服务器、cdp和OCSP响应器等元素得到适当的保护,以防止DoS攻击,否则可能会影响您的IPsec VPN。
8.安全相对较弱的CA私钥存储。
如果攻击者设法获得证书颁发机构(CA)的私钥,特别是根CA,那么数字签名身份验证所提供的强大安全性就会完全被破坏。
这是因为ca签发的证书是数字签名身份验证的基础。拥有CA的私钥将允许攻击者向自己颁发证书,从而通过VPN网关进行身份验证。
因此,请确保ca的私钥受到强保护,也许可以使用硬件安全模块(HSM)。
9.存储IPsec VPN网关配置文件,包含paintext预共享密钥。
如果您决定坚持使用预共享密钥身份验证,请不要忽视攻击者可能获得对您的VPN网关配置文件的访问权的可能性。如果他能获得配置文件,并且预共享密钥以明文显示(未加密),那么游戏就结束了——你的VPN现在是完全开放的。
你可以在思科路由器上避免这种可能性加密预共享密钥.
10.未经验证而使用加密。
在我列出的十大破坏IPsec VPN的方法中,最后一种是使用加密而不进行身份验证。
我n在某些情况下,使用加密而不进行认证会使您的VPN容易受到攻击复制粘贴攻击。剪切-粘贴攻击可以让攻击者恢复未加密的数据消息。
因此,请确保在您的VPN中始终使用加密身份验证。
总而言之:
1.在使用预共享密钥时,特别是使用主动模式时,应避免使用常规的XAuth,而应使用Hybrid Authentication或CRACK。
2.当使用数字签名身份验证时,不要忘记保护PKI的元素免受攻击。
3.在使用数字签名身份验证时,请确保您的CA的私钥受到强保护。
4.请确保攻击者无法访问包含未加密预共享密钥的VPN网关配置文件。
5.不要使用未经验证的加密。
唷!就是这样——如果你实现了这些建议,你的VPN应该是安全的,不是吗?呃,对不起,不,那只是我的上衣十个漏洞。
当确认您的IPsec VPN是正确设计和配置时,需要做的其他事情:
1.请确保您的IPsec VPN网关没有配置为使用先指定强加密算法,但允许回退到弱加密算法的IKE策略和IPsec转换。这意味着您的IPsec VPN网关应该指定更强的算法,如AES和HMAC-SHA,而不允许使用弱算法(如56位DES)回退到连接。
2.不要允许使用未经加密的身份验证的IPsec连接,除非您绝对确定不需要加密。
3.确保您的IPsec VPN客户端软件正确地存储了任何预共享密钥。例如,一些IPsec VPN软件可能会在Windows注册表中完全不隐藏和未加密的存储预共享密钥,或者可能只是“隐藏”但实际上没有加密。另外,要注意IPsec VPN客户端软件在启动时不会将预共享密钥解密到内存中。
4.不要使用手工IPsec。手动IPsec很少见,但如果使用手动IPsec,则不可能重新密钥化,因此IPsec VPN更容易受到攻击。
5.使用完全前向保密(PFS)。如果您使用PFS,那么即使攻击者设法破坏IKE,您的IPsec密钥也可能保持安全。
6.一旦您确定您的IPsec VPN隧道是安全的,请查看如何保护您的网络,以防止远程IPsec对等体受到威胁。因此,例如,确保您的网络受到保护,即使远程用户的笔记本电脑被破坏,或黑客获得访问远程站点的权限。网络访问控制(NAC)和防火墙可以帮助这一点,以及禁止分裂隧道。
7.在部署防火墙对IPsec VPN接收的流量进行检测时,需要确保防火墙的位置在合适的位置,当IPsec防护全部解除后,才可以对流量进行检测,而不仅仅是对加密后的流量进行检测。
嗯,就是这样。如果以前认为无论如何配置IPsec都是安全的想法被打破了,您现在认为IPsec有点像组装件,你并不孤单.
只要记住IPsec vpn可以要非常安全——它们只需要适当的设计和配置。
马克