Kandu.dk - IPsec - test af forbindelse og pakker. Et studie-projekt.


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

IPsec - test af forbindelse og pakker. Et ~
Fra : J.B

Dato : 16-05-04 13:05

Hej NG,

På mit studie arbejder vi i en gruppe med IPsec. Vi sætter standarden på på
to OpenBSD maskiner og på en Zyxel router. Således har vi 3 scenarier vi vil
illustrere:

Scenarie 1:
AH
DES
Transport mode
Pre-shared keys
MD5

Scenarie 2:
ESP
DES
Tunnel mode
Pre-shared keys/li>
MD5

Scenarie 3:
ESP
3DES
Tunnel mode
Public key cryptography
SHA1

Altså diverse opsætninger af IPsec. IPsec er jo naturligvis vanvittig sikker
(stadigvæk), men vores næste opgave i projektet er at belyse eventuelle
sikkerhedshuller i standarden. Vi gør brug af Etherel samt et unix program
der hedder ike-scan. Disse 2 programmer kan så give os lidt onfo om de
sendte pakker. MEN vores problem er, at vi er interesserede i, at kunne
belyse og evt. praktisk afprøve eventuelle angreb på forbindelsen. Tag ikke
fejl af, at dette er et studie i netværks-sikkerhed, og følgeligt KUN
udføres på lukkede lokale netværk.

Har nogle af jer IPsec entusiaster nogle forslag til hvordan vi kan gribe
dette an? Evt. anbefale en applikation til formålet?

Mvh
en interesserert netværks-studerende!
J.B

Christian E. Lysel (16-05-2004)

Kommentar
Fra : Christian E. Lysel

Dato : 16-05-04 22:54

In article <c87lbp$1mt8$1@news.cybercity.dk>, J.B wrote:
> Hej NG,
>
> På mit studie arbejder vi i en gruppe med IPsec. Vi sætter standarden på på
> to OpenBSD maskiner og på en Zyxel router. Således har vi 3 scenarier vi vil

Mine generelle erfaringer med ZyXEL og IPSec har været at den ikke har
overholdet standarden, jeg ville nok vælge en anden implementation.

> Altså diverse opsætninger af IPsec. IPsec er jo naturligvis vanvittig sikker
> (stadigvæk), men vores næste opgave i projektet er at belyse eventuelle
> sikkerhedshuller i standarden. Vi gør brug af Etherel samt et unix program
> der hedder ike-scan. Disse 2 programmer kan så give os lidt onfo om de

Har i kikket på artiklerne der findes til ike-scan?

> sendte pakker. MEN vores problem er, at vi er interesserede i, at kunne
> belyse og evt. praktisk afprøve eventuelle angreb på forbindelsen. Tag ikke
> fejl af, at dette er et studie i netværks-sikkerhed, og følgeligt KUN
> udføres på lukkede lokale netværk.
>
> Har nogle af jer IPsec entusiaster nogle forslag til hvordan vi kan gribe
> dette an? Evt. anbefale en applikation til formålet?

Læs standarderne, find usikre opsætninger.
Angående praktiske implementationer, har/er der masser af huller i
IPSec, søg evt. på google.com, søg evt. også efter artikler til ike-scan.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

J.B (17-05-2004)

Kommentar
Fra : J.B

Dato : 17-05-04 15:14

<snip>
> > Altså diverse opsætninger af IPsec. IPsec er jo naturligvis vanvittig
sikker
> > (stadigvæk), men vores næste opgave i projektet er at belyse eventuelle
> > sikkerhedshuller i standarden. Vi gør brug af Etherel samt et unix
program
> > der hedder ike-scan. Disse 2 programmer kan så give os lidt onfo om de
>
> Har i kikket på artiklerne der findes til ike-scan?
>

Ja og fundet masser om opsætning og brug af ike-scan og ipsec men ikke om
huller.

> Læs standarderne, find usikre opsætninger.
> Angående praktiske implementationer, har/er der masser af huller i
> IPSec, søg evt. på google.com, søg evt. også efter artikler til ike-scan.
>

Vi har idag fundet lidt om usikre opsætninger og iøvrigt allerede brugt
meget lang tid på at finde diskussioner, fora, div. links på Google om
sikkerhedshuller i IPsec. Vi har ikke kunnet finde noget specifikt om emnet.
Det kan jo skyldes IPsec's talrige opsætningsmuligheder og/eller at, som du
også gør opmærksom på, at vi bør kigge efter huller i selve protokollerne
der udgør IPsec. Men ved at finde specifikt materiale om huller beskrevet
udfra IPsec ville det også kunne give os en bedre praktisk forståelse af
IPsec. Teorien er helt på plads, men teori kan ikke altid lige overføres til
en praktisk forståelse. Vi har læst standarderne grundigt.

> --
> Mvh.
> Christian E. Lysel
> http://www.spindelnet.dk/

Mvh
J.B

Christian E. Lysel (17-05-2004)

Kommentar
Fra : Christian E. Lysel

Dato : 17-05-04 15:32

In article <c8ahab$2f2l$1@news.cybercity.dk>, J.B wrote:
>> Har i kikket på artiklerne der findes til ike-scan?
> Ja og fundet masser om opsætning og brug af ike-scan og ipsec men ikke om
> huller.

Har i læst http://www.nta-monitor.com/ike-scan/whitepaper.pdf ?

Der findes sågar artikler om huller i ike-scan :)
http://www.osvdb.org/displayvuln.php?osvdb_id=2139

>> Læs standarderne, find usikre opsætninger.
>> Angående praktiske implementationer, har/er der masser af huller i
>> IPSec, søg evt. på google.com, søg evt. også efter artikler til ike-scan.
>>
>
> Vi har idag fundet lidt om usikre opsætninger og iøvrigt allerede brugt
> meget lang tid på at finde diskussioner, fora, div. links på Google om
> sikkerhedshuller i IPsec. Vi har ikke kunnet finde noget specifikt om emnet.

Har i kikket på http://ikecrack.sourceforge.net/ ?

> Det kan jo skyldes IPsec's talrige opsætningsmuligheder og/eller at, som du
> også gør opmærksom på, at vi bør kigge efter huller i selve protokollerne
> der udgør IPsec. Men ved at finde specifikt materiale om huller beskrevet

Protokollen er "fin nok", der er flere problemmer med de forskellige
implementationer. Nogle implementationer tolker standarden så "skævt" at
det kan være svært at få til at virke.

> udfra IPsec ville det også kunne give os en bedre praktisk forståelse af
> IPsec. Teorien er helt på plads, men teori kan ikke altid lige overføres til
> en praktisk forståelse. Vi har læst standarderne grundigt.

Praktiske huller kan fx findes på
http://www.checkpoint.com/techsupport/alerts/index.html

Desværrer er producenter begyndt at være meget stille om
hvad huller i virkeligheden skyldes.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kim Andersen (17-05-2004)

Kommentar
Fra : Kim Andersen

Dato : 17-05-04 13:17

Noget man kunne tænke på er Pre-shared keys, hvor man evt. ville skifte key
ud med mellem rum. Noget ala VASCO Tokens og SecureID, hvor man matematisk
beregner næste nøgle for at gører det mere sikkert i forbindelsen.

Dog bruges det mere til End-user forbindelser og ikke til Branch Office.

/Kim

J.B (17-05-2004)

Kommentar
Fra : J.B

Dato : 17-05-04 15:17

> Noget man kunne tænke på er Pre-shared keys, hvor man evt. ville skifte
key
> ud med mellem rum. Noget ala VASCO Tokens og SecureID, hvor man matematisk
> beregner næste nøgle for at gører det mere sikkert i forbindelsen.
>
> Dog bruges det mere til End-user forbindelser og ikke til Branch Office.
>

God idé. Pre-shared keys er dog lidt et kapitel for sig, da sikkerheden for
disse mere vedrører deres praktiske opbevaring og udveksling o.lign. Kender
ikke lige til VASCO Tokens og SecureID, men vi har da en session hvor vi
benytter Public keys istedet for preshared. Puha hvor var det halv-langhåret
at få til at køre på OpenBSD. Mht. til de to emner - jeg må vist Google lidt
Glad

>
> /Kim
>
/J.B

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408521
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste