05 Кві, 2023

Інтернет-обмін ключами (IKE)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Протокол обміну ключами Інтернету (IKE) це протокол керування ключами, яка використовується для створення та обслуговування безпечних VPN-тунелів. IKE часто використовується в поєднанні з протоколом IPSec, який забезпечує шифрування і аутентифікації пакетів даних.
IKE використовується для узгодження алгоритмів шифрування і аутентифікації, які будуть використовуватися у VPN-тунелі, а також для обміну ключами і встановлення захищеного каналу зв'язку між двома кінцевими точками. IKE надає безпечний метод обміну секретними ключами, які використовуються для шифрування та дешифрування даних, якими обмінюються дві кінцеві точки.

IKE загальні порти

Порт UDP 500 – Це найбільш часто використовуваний порт для IKE. Він використовується як для початкового рукостискання, так і для обміну зашифрованими даними між пристроями.

Порт UDP 4500 – Цей порт використовується для IKE over (NAT traversal) і часто використовується в ситуаціях, коли VPN-клієнт і сервер знаходяться за пристроями NAT.

Порт TCP 10000 – Деякі реалізації VPN використовують TCP замість UDP для зв'язку IKE, і TCP-порт 10000 є звичайним портом, який використовується для цієї мети.

Порт UDP 1701 – Цей порт використовується спеціально для L2TP (Layer 2 Tunneling Protocol) через VPN IPSec, які використовують IKE для аутентифікації і обміну ключами.

Порт UDP 62515 – Цей порт використовується для IKEv2 (Internet Key Exchange версії 2), яка є більш новою версією IKE, яка стає все більш популярною завдяки своїм покращеним функціям безпеки.

Стандартні команди від неавторизованих користувачів

Важливо відзначити, що неавторизовані користувачі не повинні намагатися взаємодіяти з протоколом IKE. Будь-які спроби зробити це можуть бути незаконними і привести до серйозних наслідків. Проте в ознайомлювальних цілях нижче наведені деякі стандартні команди, які потенційно можуть бути використані неавторизованими користувачами для взаємодії з протоколом IKE:

ike-scan – Це інструмент командного рядка, який можна використовувати для сканування мережі на наявність пристроїв, що працюють під управлінням IKE. Він також може бути використаний для відправки пакетів IKE на ці пристрої для перевірки на наявність вразливостей.

ike-scan-authcrack – Це інструмент, який можна використовувати для перевірки достовірності облікових даних аутентифікації IKE. Він використовує атаку по словнику, щоб використовувати різні імена користувачів і паролі в спробі отримати доступ до VPN.

ikecrack – Це інструмент, який можна використовувати для злому попередньо поділюваних ключів (PSK), використовуваних IKE. Він використовує атаку методом грубої сили, щоб спробувати різні комбінації символів, поки не знайде правильний ключ.

IKEProbe – Це інструмент, який можна використовувати для відправки пакетів IKE на пристрій для перевірки на наявність вразливостей. Він також може бути використаний для відправки спотворених пакетів, щоб перевірити, як пристрій обробляє їх.

Ручні Інструменти:

  • Wireshark – Популярний аналізатор мережевих протоколів, який може захоплювати і аналізувати мережевий трафік, включаючи пакети IKE. Це дозволяє вам переглядати детальну інформацію про кожному пакеті і може допомогти вам виявити будь-які проблеми з вашої реалізацією IKE.

  • IKEProbe – Інструмент командного рядка, який може відправляти пакети IKE для перевірки на наявність вразливостей. Він також може відправляти спотворені пакети, щоб перевірити, як пристрій обробляє їх.

  • IKEView – Інструмент на основі графічного інтерфейсу, який може декодувати і відображати пакети IKE. Він також може відображати статус активних VPN-тунелів.

  • ike-scan – Інструмент, який можна використовувати для сканування мережі на наявність пристроїв, що працюють під управлінням IKE. Він також може відправляти пакети IKE на ці пристрої для перевірки на наявність вразливостей.

  • StrongSwan – VPN-рішення на базі IPSec з відкритим вихідним кодом, що включає вбудовані клієнт і сервер IKEv2. Він може бути використаний для тестування реалізацій IKE.

  • OpenIKEv2 – Реалізація протоколу IKEv2 з відкритим вихідним кодом. Він може бути використаний для тестування реалізацій IKEv2.

  • racoon – Реалізація IKE з відкритим вихідним кодом для VPN на базі IPSec. Він може бути використаний для тестування реалізацій IKE.

  • v2tester – Інструмент, який може бути використаний для тестування реалізацій IKEv2. Він може імітувати різні типи клієнтів і серверів, щоб перевірити, як IKEv2 опрацьовує різні сценарії.

  • IKECrack – Інструмент, який може бути використаний для злому попередньо розділених ключів (PSK), використовуваних IKE. Він використовує атаку методом грубої сили, щоб спробувати різні комбінації символів, поки не знайде правильний ключ.

  • ike-scan-authcrack – Інструмент, який можна використовувати для перевірки достовірності облікових даних аутентифікації IKE. Він використовує атаку по словнику, щоб використовувати різні імена користувачів і паролі в спробі отримати доступ до VPN.

Автоматизовані інструменти:

  • Nmap – Популярний мережевий сканер, який включає в себе скрипт для сканування пристроїв, що працюють під управлінням IKE. Скрипт може ідентифікувати пристрої, що працюють під управлінням IKEv1, IKEv2 і Hybrid IKE.

  • Nessus – Сканер вразливостей, який включає в себе перевірку на наявність вразливостей IKE. Він може ідентифікувати пристрої, на яких встановлені уразливі версії IKE, і може надати рекомендації щодо виправлення.

  • Metasploit – Платформа тестування на проникнення, яка включає модулі для тестування вразливостей IKE. Він може бути використаний для використання вразливостей в реалізаціях IKE.

  • ExploitDB – База даних експлойтів і вразливостей, включаючи уразливості IKE. Він може бути використаний для виявлення відомих вразливостей в реалізаціях IKE.

  • Snort – Система виявлення і запобігання вторгнень з відкритим вихідним кодом, що включає в себе правила для виявлення атак, пов'язаних з IKE. Він може бути використаний для виявлення підозрілого трафіку, пов'язаного з IKE.

  • Suricata – Система виявлення і запобігання вторгнень з відкритим вихідним кодом, що включає в себе правила для виявлення атак, пов'язаних з IKE. Він може бути використаний для виявлення підозрілого трафіку, пов'язаного з IKE.

  • Security Onion – Дистрибутив Linux для моніторингу мережевої безпеки, який включає в себе кілька інструментів для моніторингу трафіку IKE, включаючи Wireshark, Snort і Suricata.

  • Qualys – Платформа управління уразливими, яка включає в себе перевірки на наявність вразливостей IKE. Він може ідентифікувати пристрої, на яких встановлені уразливі версії IKE, і може надати рекомендації щодо виправлення.

  • Shodan – Пошукова система для пристроїв, підключених до Інтернету, яка може використовуватися для ідентифікації пристроїв, що працюють під управлінням IKE. Його можна використовувати для пошуку вразливих пристроїв і тестування їх реалізацій IKE.

  • Burp Suite – Інструмент тестування безпеки веб-додатків, який включає плагін для тестування реалізацій IKE. Плагін може використовуватися для відправки пакетів IKE і аналізу відповідей для виявлення вразливостей.

Останні п'ять відомих CVE для IKE

• CVE-2023-24859 – Вразливість при відмову в обслуговуванні розширення Windows Internet Key Exchange (IKE) 

CVE-2023-22404 – Уразливість для запису за межі мережі в демона протоколу обміну ключами Інтернету (iked) Juniper Networks Junos OS на серіях SRX і MX з SPC3 дозволяє аутентифікованим мережного зловмисникові викликати відмову в обслуговуванні (DoS). iked завершить роботу з помилкою і перезапуститься, і тунель не відкриється, коли спеціальний вузол відправить спеціально відформатовану корисну навантаження під час узгодження. Це вплине на інші переговори IKE, що проходять в той же час. Подальше отримання цієї спеціально відформатованої корисного навантаження призведе до постійного збою iked і, отже, неможливість проведення будь-яких переговорів з IKE. Зверніть увагу, що ця корисна навантаження обробляється тільки після успішного завершення аутентифікації. Таким чином, проблема може бути використана тільки зловмисником, який може успішно пройти аутентифікацію. Ця проблема зачіпає Juniper Networks ОС Junos серії SRX і серії MX з SPC3: Всі версії до 19.3R3-S7; 19.4 версії до 19.4R3-S9; 20.2 версії до 20.2R3-S5; 20.3 версії до 20.3R3-S5; 20.4 версії до 20.4R3-S4; 21.1 версії до 21.1R3-S3; 21.2 версії до 21.2R3-S2; 21.3 версії до 21.3R3-S1; 21.4 версії до 21.4R2-S1, 21.4R3; 22.1 версії до 22.1R1-S2, 22.1R2.

• CVE-2023-21758 – Вразливість при відмову в обслуговуванні розширення Windows Internet Key Exchange (IKE). Цей ідентифікатор CVE унікальний для CVE-2023-21677, CVE-2023-21683.

• CVE-2023-21683 – Вразливість при відмову в обслуговуванні розширення Windows Internet Key Exchange (IKE). Цей ідентифікатор CVE унікальний для CVE-2023-21677, CVE-2023-21758.

• CVE-2023-21677 – Вразливість при відмову в обслуговуванні розширення Windows Internet Key Exchange (IKE). Цей ідентифікатор CVE унікальний для CVE-2023-21683, CVE-2023-21758.

Корисна інформація

– IKE - це протокол обміну ключами, що використовується для встановлення безпечних з'єднань між двома пристроями через Інтернет.

– IKE використовується спільно з IPSec, який забезпечує шифрування і аутентифікації IP-пакетів.

– Існує дві версії IKE: IKEv1 і IKEv2. IKEv1 старше і менш безпечний, в той час як IKEv2 новіше і більш безпечний.

– IKEv2 підтримує широкий спектр методів аутентифікації, чим IKEv1, включаючи аутентифікацію на основі сертифікатів і розширюваний протокол аутентифікації (EAP).

– IKEv2 також розроблений для кращої роботи в сценаріях мобільного та віддаленого доступу, де пристрої можуть мати нестабільні мережеві підключення.

– IKE використовує комбінацію криптографії з відкритим ключем і симетричним ключем для встановлення загального секретного ключа між двома пристроями.

– IKEv2 підтримує функцію під назвою "Повторний запуск дочірнього сервера SA", яка дозволяє пристроям періодично переглядати ключі шифрування, що використовуються для підключення по протоколу IPSec.

– Пакети IKE можуть бути уразливі для таких атак, як атаки методом перебору, повторні атаки і атаки типу "людина посередині".

– Реалізації IKE також можуть бути уразливі для помилок конфігурації або програмних помилок, які можуть бути використані зловмисниками.

Відомі банери

“IKE responder ready” – Цей банер вказує на те, що відповідач IKE готовий до прийому запитів.

“IKEv1 responder ready” – Цей банер вказує на те, що відповідач IKEv1 готовий до прийому запитів.

“IKEv2 responder ready” – Цей банер вказує на те, що відповідач IKEv2 готовий до прийому запитів.

“IKEv1 Initialization Complete” – Цей банер вказує на те, що процес ініціалізації IKEv1 успішно завершено.

“IKEv2 Initialization Complete” – Цей банер вказує на те, що процес ініціалізації IKEv2 успішно завершено.

“no proposal chosen” – Цей банер вказує на те, що пропозиція IKE, відправлене ініціатором, не було прийнято відповідачем.

“invalid payload received” – Цей банер вказує на те, що відповідач отримав неприпустиму корисну навантаження в пакеті IKE.

“authentication failed” – Цей банер вказує на збій процесу аутентифікації для підключення IKE.

“IKE SA negotiation failed” – Цей банер вказує на те, що переговорний процес IKE SA провалився.

“IKE SA established” – Цей банер вказує на те, що IKE SA була успішно створена.

Книги для вивчення протоколу обміну ключами Інтернету (IKE)

Віртуальні приватні мережі IKEv2 IPSec: розуміння і розгортання IKEv2, IPSec VPN і FlexVPN в Cisco IOS автори: Грем Бартлетт і Амджад Инамдар. Ця книга містить всебічне введення в VPN IKEv2 і IPSec з практичними прикладами та керівництвами по налаштуванню для їх розгортання в середовищі Cisco IOS.

IKEv2: Основи віртуальної приватної мережі IPSec автори: Грем Бартлетт і Амджад Инамдар. Ця книга являє собою більш глибоке дослідження IKEv2 з акцентом на його архітектуру, конфігурацію і роботу.

Дизайн IPSec VPN автори: Віджай Боллапрагада, Мохаммед Халід і Скотт Уэйннер. У цій книзі представлений вичерпний огляд VPN-мереж IPSec, включаючи роль IKE в їх експлуатації і настройці.

Принципи і практика мережевої безпеки автор: Саадат Малік. Ця книга охоплює широкий спектр тем мережевої безпеки, включаючи докладне обговорення IKE і його ролі у забезпеченні безпеки VPN.

Віртуальні Приватні мережі, Друге видання автор: Чарлі Скотт і Підлогу Вулф. Ця книга містить вичерпне введення в VPN, включаючи обговорення IKE та інших ключових протоколів, використовуваних в їх роботі.

Список корисного навантаження для протоколу обміну ключами Інтернету (IKE)

  • Одноразова корисне навантаження (Nx): Одноразова корисне навантаження використовується для запобігання повторних атак шляхом надання унікального значення, яке не повторюється в процесі узгодження. Одноразове значення зазвичай генерується ініціатором і використовується для обчислення загального секретного ключа, який використовується для наступних повідомлень.

  • Iкорисне навантаження для ідентифікації (IDx): Ідентифікаційна корисне навантаження використовується для ідентифікації ініціатора або відповідача в процесі узгодження. Корисне навантаження ідентифікатора може містити різну інформацію, включаючи IP-адреси, доменні імена чи іншу ідентифікаційну інформацію.

  • Vкорисне навантаження ідентифікатора кінцевого користувача (VID): Корисне навантаження Vendor ID використовується для ідентифікації постачальника або реалізації програмного забезпечення IKE. Ця інформація може бути корисна для усунення неполадок або визначення сумісності між різними реалізаціями протоколу.

  • Cпідтверджує корисне навантаження (СЕРТИФІКАТ): Корисне навантаження сертифіката забезпечує механізм аутентифікації, дозволяючи ініціатору отримати сертифікат від відповідача. Сертифікат містить інформацію про відкритий ключ використовується для шифрування, і може бути використаний для перевірки особи відповідача.

  • Корисне навантаження аутентифікації (AUTH): Корисне навантаження аутентифікації перевіряє особу обмінюються даними сторін з допомогою загального секретного ключа або підпису. Корисне навантаження АУТЕНТИФІКАЦІЇ зазвичай генерується ініціатором і використовується для аутентифікації відповідача.

  • Sкорисне навантаження Асоціації екологічної безпеки (SA): Корисне навантаження асоціації безпеки визначає параметри встановлюється асоціації безпеки, включаючи алгоритми шифрування і аутентифікації, довжини та інші параметри безпеки.

  • Корисне навантаження ініціатора селектора трафіку (TSi): Корисне навантаження ініціатора вибору трафіку визначає трафік, який повинен бути захищений асоціацією безпеки з точки зору ініціатора.

  • Корисне навантаження відповідача селектора трафіку (TSr): Корисне навантаження відповідача селектора трафіку визначає трафік, який повинен бути захищений асоціацією безпеки з точки зору відповідача.

  • Корисне навантаження повідомлення (NOTIFY): Корисне навантаження повідомлення використовується для відправки повідомлень про помилки або статус під час процесу узгодження. Корисне навантаження ПОВІДОМЛЕННЯ може використовуватися для вказівки помилок або проблем в процесі погодження або для надання оновлень статусу сторін, що здійснюють зв'язок.

Пом'якшення наслідків

  1. Обмеження кількості запитів на узгодження IKE в одиницю часу з однієї IP-адреси для запобігання повені.

  2. Використання брандмауерів і систем виявлення вторгнень (IDS) для фільтрації і блокування шкідливого трафіку.

  3. Впровадження методів обмеження швидкості і регулювання для контролю трафіку, відправляється цільового об'єкту, що може запобігти атаки з вичерпанням ресурсів.

  4. Розгортання механізмів зашифрованою аутентифікації, таких як сертифікати і попередньо розділені ключі (PSK), для запобігання несанкціонованого доступу до мережі.

  5. Використання перетворення мережевих адрес (NAT) для приховування внутрішньої IP-адреси VPN-шлюзу, що може перешкодити зловмисникам ідентифікувати мета.

Висновок

Протокол обміну ключами Інтернету (IKE) є важливим компонентом безпечної зв'язку по IP-мереж. Він використовується для встановлення асоціацій безпеки і узгодження обміну ключами між двома сторонами, такими як VPN-шлюз і віддалений клієнт. Протокол IKE надає надійні механізми безпеки для забезпечення конфіденційності, цілісності та автентичності повідомлення. Однак, як і будь-який протокол безпеки, він також уразливим для атак, таких як атаки типу "відмова в обслуговуванні" (DoS). Щоб зменшити ці проблеми, мережеві адміністратори можуть впроваджувати різні стратегії, такі як обмеження швидкості, брандмауери і системи виявлення вторгнень. В цілому, протокол IKE є найважливішим елементом безпечного зв'язку, та його використання продовжує зростати в міру того, як все більше організацій впроваджують технології VPN для віддаленого доступу та безпечного зв'язку.

Інші Послуги

Готові до безпеки?

зв'язатися з нами