05 Апр, 2023

Интернет-обмен ключами (IKE)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Протокол обмена ключами Интернета (IKE) это протокол управления ключами, используемый для создания и обслуживания безопасных VPN-туннелей. IKE часто используется в сочетании с протоколом IPSec, который обеспечивает шифрование и аутентификацию пакетов данных.
IKE используется для согласования алгоритмов шифрования и аутентификации, которые будут использоваться в VPN-туннеле, а также для обмена ключами и установления защищенного канала связи между двумя конечными точками. IKE предоставляет безопасный метод обмена секретными ключами, которые используются для шифрования и дешифрования данных, которыми обмениваются две конечные точки.

IKE общие порты

Порт UDP 500 – Это наиболее часто используемый порт для IKE. Он используется как для первоначального рукопожатия, так и для обмена зашифрованными данными между устройствами.

Порт UDP 4500 – Этот порт используется для IKE over NAT (преобразования сетевых адресов) и часто используется в ситуациях, когда VPN-клиент и сервер находятся за устройствами NAT.

Порт TCP 10000 – Некоторые реализации VPN используют TCP вместо UDP для связи IKE, и TCP-порт 10000 является обычным портом, используемым для этой цели.

Порт UDP 1701 – Этот порт используется специально для L2TP (Layer 2 Tunneling Protocol) через VPN IPSec, которые используют IKE для аутентификации и обмена ключами.

Порт UDP 62515 – Этот порт используется для IKEv2 (Internet Key Exchange версии 2), которая является более новой версией IKE, которая становится все более популярной благодаря своим улучшенным функциям безопасности.

Стандартные команды от неавторизованных пользователей

Важно отметить, что неавторизованные пользователи не должны пытаться взаимодействовать с протоколом IKE. Любые попытки сделать это могут быть незаконными и привести к серьезным последствиям. Однако в ознакомительных целях ниже приведены некоторые стандартные команды, которые потенциально могут быть использованы неавторизованными пользователями для взаимодействия с протоколом IKE:

ike-scan – Это инструмент командной строки, который можно использовать для сканирования сети на наличие устройств, работающих под управлением IKE. Он также может быть использован для отправки пакетов IKE на эти устройства для проверки на наличие уязвимостей.

ike-scan-authcrack – Это инструмент, который можно использовать для проверки достоверности учетных данных аутентификации IKE. Он использует атаку по словарю, чтобы использовать разные имена пользователей и пароли в попытке получить доступ к VPN.

ikecrack – Это инструмент, который можно использовать для взлома предварительно разделяемых ключей (PSK), используемых IKE. Он использует атаку методом грубой силы, чтобы попробовать различные комбинации символов, пока не найдет правильный ключ.

IKEProbe – Это инструмент, который можно использовать для отправки пакетов IKE на устройство для проверки на наличие уязвимостей. Он также может быть использован для отправки искаженных пакетов, чтобы проверить, как устройство обрабатывает их.

Ручные Инструменты:

  • Wireshark – Популярный анализатор сетевых протоколов, который может захватывать и анализировать сетевой трафик, включая пакеты IKE. Это позволяет вам просматривать подробную информацию о каждом пакете и может помочь вам выявить любые проблемы с вашей реализацией IKE.

  • IKEProbe – Инструмент командной строки, который может отправлять пакеты IKE для проверки на наличие уязвимостей. Он также может отправлять искаженные пакеты, чтобы проверить, как устройство обрабатывает их.

  • IKEView – Инструмент на основе графического интерфейса, который может декодировать и отображать пакеты IKE. Он также может отображать статус активных VPN-туннелей.

  • ike-scan – Инструмент, который можно использовать для сканирования сети на наличие устройств, работающих под управлением IKE. Он также может отправлять пакеты IKE на эти устройства для проверки на наличие уязвимостей.

  • StrongSwan – VPN-решение на базе IPSec с открытым исходным кодом, включающее встроенные клиент и сервер IKEv2. Он может быть использован для тестирования реализаций IKE.

  • OpenIKEv2 – Реализация протокола IKEv2 с открытым исходным кодом. Он может быть использован для тестирования реализаций IKEv2.

  • racoon – Реализация протокола IKE с открытым исходным кодом для VPN на базе IPSec. Он может быть использован для тестирования реализаций IKE.

  • v2tester – Инструмент, который может быть использован для тестирования реализаций IKEv2. Он может имитировать различные типы клиентов и серверов, чтобы проверить, как IKEv2 обрабатывает различные сценарии.

  • IKECrack – Инструмент, который может быть использован для взлома предварительно разделенных ключей (PSK), используемых IKE. Он использует атаку методом грубой силы, чтобы попробовать различные комбинации символов, пока не найдет правильный ключ.

  • ike-scan-authcrack – Инструмент, который можно использовать для проверки достоверности учетных данных аутентификации IKE. Он использует атаку по словарю, чтобы использовать разные имена пользователей и пароли в попытке получить доступ к VPN.

Автоматизированные инструменты:

  • Nmap – Популярный сетевой сканер, который включает в себя скрипт для сканирования устройств, работающих под управлением IKE. Скрипт может идентифицировать устройства, работающие под управлением IKEv1, IKEv2 и Hybrid IKE.

  • Nessus – Сканер уязвимостей, который включает в себя проверку на наличие уязвимостей IKE. Он может идентифицировать устройства, на которых установлены уязвимые версии IKE, и может предоставить рекомендации по исправлению.

  • Metasploit – Платформа тестирования на проникновение, которая включает модули для тестирования уязвимостей IKE. Он может быть использован для использования уязвимостей в реализациях IKE.

  • ExploitDB – База данных эксплойтов и уязвимостей, включая уязвимости IKE. Он может быть использован для выявления известных уязвимостей в реализациях IKE.

  • Snort – Система обнаружения и предотвращения вторжений с открытым исходным кодом, которая включает в себя правила для обнаружения атак, связанных с IKE. Он может быть использован для выявления подозрительного трафика, связанного с IKE.

  • Suricata – Система обнаружения и предотвращения вторжений с открытым исходным кодом, которая включает в себя правила для обнаружения атак, связанных с IKE. Он может быть использован для выявления подозрительного трафика, связанного с IKE.

  • Security Onion – Дистрибутив Linux для мониторинга сетевой безопасности, который включает в себя несколько инструментов для мониторинга трафика IKE, включая Wireshark, Snort и Suricata.

  • Qualys – Платформа управления уязвимостями, которая включает в себя проверки на наличие уязвимостей IKE. Он может идентифицировать устройства, на которых установлены уязвимые версии IKE, и может предоставить рекомендации по исправлению.

  • Shodan – Поисковая система для устройств, подключенных к Интернету, которая может использоваться для идентификации устройств, работающих под управлением IKE. Его можно использовать для поиска уязвимых устройств и тестирования их реализаций IKE.

  • Burp Suite – Инструмент тестирования безопасности веб-приложений, который включает плагин для тестирования реализаций IKE. Плагин может использоваться для отправки пакетов IKE и анализа ответов для выявления уязвимостей.

Последние пять известных CVE для IKE

• CVE-2023-24859 – Уязвимость при отказе в обслуживании расширения Windows Internet Key Exchange (IKE) 

CVE-2023-22404 – Уязвимость для записи за пределы сети в демоне протокола обмена ключами Интернета (iked) Juniper Networks Junos OS на сериях SRX и MX с SPC3 позволяет аутентифицированному сетевому злоумышленнику вызвать отказ в обслуживании (DoS). iked завершит работу с ошибкой и перезапустится, и туннель не откроется, когда одноранговый узел отправит специально отформатированную полезную нагрузку во время согласования. Это повлияет на другие переговоры IKE, проходящие в то же время. Дальнейшее получение этой специально отформатированной полезной нагрузки приведет к постоянному сбою iked и, следовательно, невозможности проведения каких-либо переговоров по IKE. Обратите внимание, что эта полезная нагрузка обрабатывается только после успешного завершения аутентификации. Таким образом, проблема может быть использована только злоумышленником, который может успешно пройти аутентификацию. Эта проблема затрагивает Juniper Networks ОС Junos серии SRX и серии MX с SPC3: Все версии до 19.3R3-S7; 19.4 версии до 19.4R3-S9; 20.2 версии до 20.2R3-S5; 20.3 версии до 20.3R3-S5; 20.4 версии до 20.4R3-S4; 21.1 версии до 21.1R3-S3; 21.2 версии до 21.2R3-S2; 21.3 версии до 21.3R3-S1; 21.4 версии до 21.4R2-S1, 21.4R3; 22.1 версии до 22.1R1-S2, 22.1R2.

• CVE-2023-21758 – Уязвимость при отказе в обслуживании расширения Windows Internet Key Exchange (IKE). Этот идентификатор CVE уникален для CVE-2023-21677, CVE-2023-21683.

• CVE-2023-21683 – Уязвимость при отказе в обслуживании расширения Windows Internet Key Exchange (IKE). Этот идентификатор CVE уникален для CVE-2023-21677, CVE-2023-21758.

• CVE-2023-21677 – Уязвимость при отказе в обслуживании расширения Windows Internet Key Exchange (IKE). Этот идентификатор CVE уникален для CVE-2023-21683, CVE-2023-21758.

Полезная информация

– IKE - это протокол обмена ключами, используемый для установления безопасных соединений между двумя устройствами через Интернет.

– IKE используется совместно с IPSec, который обеспечивает шифрование и аутентификацию IP-пакетов.

– Существует две версии IKE: IKEv1 и IKEv2. IKEv1 старше и менее безопасен, в то время как IKEv2 новее и более безопасен.

– IKEv2 поддерживает более широкий спектр методов аутентификации, чем IKEv1, включая аутентификацию на основе сертификатов и расширяемый протокол аутентификации (EAP).

– IKEv2 также разработан для лучшей работы в сценариях мобильного и удаленного доступа, где устройства могут иметь нестабильные сетевые подключения.

– IKE использует комбинацию криптографии с открытым ключом и симметричным ключом для установления общего секретного ключа между двумя устройствами.

– IKEv2 поддерживает функцию под названием “Повторный запуск дочернего сервера SA”, которая позволяет устройствам периодически пересматривать ключи шифрования, используемые для подключения по протоколу IPSec.

– Пакеты IKE могут быть уязвимы для таких атак, как атаки методом перебора, повторные атаки и атаки типа "человек посередине".

– Реализации IKE также могут быть уязвимы для ошибок конфигурации или программных багов, которые могут быть использованы злоумышленниками.

Известные баннеры

“IKE responder ready” – Этот баннер указывает на то, что ответчик IKE готов к приему запросов.

“IKEv1 responder ready” – Этот баннер указывает на то, что ответчик IKEv1 готов к приему запросов.

“IKEv2 responder ready” – Этот баннер указывает на то, что ответчик IKEv2 готов к приему запросов.

“Инициализация IKEv1 завершена” – Этот баннер указывает на то, что процесс инициализации IKEv1 успешно завершен.

“Инициализация IKEv2 завершена” – Этот баннер указывает на то, что процесс инициализации IKEv2 успешно завершен.

“предложение не выбрано” – Этот баннер указывает на то, что предложение IKE, отправленное инициатором, не было принято ответчиком.

“получена недопустимая полезная нагрузка” – Этот баннер указывает на то, что ответчик получил недопустимую полезную нагрузку в пакете IKE.

“ошибка аутентификации” – Этот баннер указывает на сбой процесса аутентификации для подключения IKE.

“Переговоры АЙКА СА провалились” – Этот баннер указывает на то, что переговорный процесс IKE SA провалился.

“IKE SA established” – Этот баннер указывает на то, что IKE SA была успешно создана.

Книги для изучения протокола обмена ключами Интернета (IKE)

Виртуальные частные сети IKEv2 IPSec: понимание и развертывание IKEv2, IPSec VPN и FlexVPN в Cisco IOS авторы: Грэм Бартлетт и Амджад Инамдар. Эта книга содержит всестороннее введение в VPN IKEv2 и IPSec с практическими примерами и руководствами по настройке для их развертывания в среде Cisco IOS.

IKEv2: Основы виртуальной частной сети IPSec авторы: Грэм Бартлетт и Амджад Инамдар. Эта книга представляет собой более глубокое исследование IKEv2 с акцентом на его архитектуру, конфигурацию и работу.

Дизайн IPSec VPN авторы: Виджай Боллапрагада, Мохаммед Халид и Скотт Уэйннер. В этой книге представлен исчерпывающий обзор VPN-сетей IPSec, включая роль IKE в их эксплуатации и настройке.

Принципы и практика сетевой безопасности автор: Саадат Малик. Эта книга охватывает широкий спектр тем сетевой безопасности, включая подробное обсуждение IKE и его роли в обеспечении безопасности VPN.

Виртуальные Частные сети, Второе издание автор: Чарли Скотт и Пол Вулф. Эта книга содержит исчерпывающее введение в VPN, включая обсуждение IKE и других ключевых протоколов, используемых в их работе.

Список полезной нагрузки для протокола обмена ключами Интернета (IKE)

  • Одноразовая полезная нагрузка (Nx): Одноразовая полезная нагрузка используется для предотвращения повторных атак путем предоставления уникального значения, которое не повторяется в процессе согласования. Одноразовое значение обычно генерируется инициатором и используется для вычисления общего секретного ключа, который используется для последующих сообщений.

  • Iполезная нагрузка для идентификации (IDx): Идентификационная полезная нагрузка используется для идентификации инициатора или ответчика в процессе согласования. Полезная нагрузка идентификатора может содержать различную информацию, включая IP-адреса, доменные имена или другую идентифицирующую информацию.

  • .полезная нагрузка идентификатора конечного пользователя (VID): Полезная нагрузка Vendor ID используется для идентификации поставщика или реализации используемого программного обеспечения IKE. Эта информация может быть полезна для устранения неполадок или определения совместимости между различными реализациями протокола.

  • Cподтверждающая полезная нагрузка (СЕРТИФИКАТ): Полезная нагрузка сертификата обеспечивает механизм аутентификации, позволяя инициатору получить сертификат от ответчика. Сертификат содержит информацию об открытом ключе, используемом для шифрования, и может быть использован для проверки личности ответчика.

  • Полезная нагрузка аутентификации (AUTH): Полезная нагрузка аутентификации проверяет личность обменивающихся данными сторон с помощью общего секретного ключа или цифровой подписи. Полезная нагрузка АУТЕНТИФИКАЦИИ обычно генерируется инициатором и используется для аутентификации ответчика.

  • Sполезная нагрузка Ассоциации экологической безопасности (SA): Полезная нагрузка ассоциации безопасности определяет параметры устанавливаемой ассоциации безопасности, включая алгоритмы шифрования и аутентификации, длины ключей и другие параметры безопасности.

  • Полезная нагрузка инициатора селектора трафика (TSi): Полезная нагрузка инициатора выбора трафика определяет трафик, который должен быть защищен ассоциацией безопасности с точки зрения инициатора.

  • Полезная нагрузка ответчика селектора трафика (TSr): Полезная нагрузка ответчика селектора трафика определяет трафик, который должен быть защищен ассоциацией безопасности с точки зрения ответчика.

  • Полезная нагрузка уведомления (NOTIFY): Полезная нагрузка уведомления используется для отправки сообщений об ошибках или статусе во время процесса согласования. Полезная нагрузка УВЕДОМЛЕНИЯ может использоваться для указания ошибок или проблем в процессе согласования или для предоставления обновлений статуса сторонам, осуществляющим связь.

Смягчение последствий

  1. Ограничение количества запросов на согласование IKE в единицу времени с одного IP-адреса для предотвращения наводнения.

  2. Использование брандмауэров и систем обнаружения вторжений (IDS) для фильтрации и блокирования вредоносного трафика.

  3. Внедрение методов ограничения скорости и регулирования для контроля объема трафика, отправляемого целевому объекту, что может предотвратить атаки с исчерпанием ресурсов.

  4. Развертывание механизмов зашифрованной аутентификации, таких как сертификаты и предварительно разделяемые ключи (PSK), для предотвращения несанкционированного доступа к сети.

  5. Использование преобразования сетевых адресов (NAT) для скрытия внутреннего IP-адреса VPN-шлюза, что может помешать злоумышленникам идентифицировать цель.

Заключение

Протокол обмена ключами Интернета (IKE) является важным компонентом безопасной связи по IP-сетям. Он используется для установления ассоциаций безопасности и согласования обмена ключами между двумя сторонами, такими как VPN-шлюз и удаленный клиент. Протокол IKE предоставляет надежные механизмы безопасности для обеспечения конфиденциальности, целостности и аутентичности сообщения. Однако, как и любой протокол безопасности, он также уязвим для атак, таких как атаки типа "отказ в обслуживании" (DoS). Чтобы уменьшить эти уязвимости, сетевые администраторы могут внедрять различные стратегии, такие как ограничение скорости, брандмауэры и системы обнаружения вторжений. В целом, протокол IKE является важнейшим элементом безопасной связи, и его использование продолжает расти по мере того, как все больше организаций внедряют технологии VPN для удаленного доступа и безопасной связи.

Другие Услуги

Готовы к безопасности?

Связаться с нами