内上回博客贴文isecVPN失效前五大原因并描述一二件需要注意的事情。
直通它
6级扩展验证使用不当(XAUT使用弱预分享密钥和攻击式IKE/ISAKMP时易损性)。
IKE用于IPsecVPN动态交换键取物、商谈密码参数并验证IPsec设备
IPsec设备认证单网站VPN即可,但在远程访问VPN中,验证VPN用户也是必要的
VPN用户认证确保,例如,如果用户笔记本被窃,窃取者将无法连接VPN网关,因为即使IPsec设备认证成功,用户认证将失败
IPsecVPN网关验证VPN用户有三大方法:
扩展验证IKE
IKE混合认证模式
ikE挑战/响应验证密码密钥
Xauth可以弱预分享密钥用于认证IKE阶段1IPsec设备时易损性,特别是使用攻击式模式时易损性
混合验证时IKE阶段1VPN网关使用RSA/DSA数字签名认证验证完成IKE阶段1后开始交易交换交换机由ISAKMP Xauth组成,VPN认证客户端
混合验证地址正则Xauth潜在缺陷以及使用预分享密钥群认证问题
IKECRACK修改IKE阶段1商谈以包括用户认证(未包括在正规IKE阶段1中)CRACK使用时VPN客户端使用秘密验证键类型用户认证法和VPN网关验证使用公钥验证
下图显示Xauth易容这也是不使用预分享密钥和攻击模式的另一个原因
Cisco VPN3000集聚器和CiscoASA5500s等选项时,你可能想使用混合验证.
7PKI攻击NTP和/或CRL/OCSP的脆弱性(使用数字签名认证时相关)。
如你所知数字签名认证比预分享密钥认证好得多PKI支持数字签名认证
PKI使用元素包括提供精确时钟的NTP服务器和证书撤销列表分发点或在线证书状态协议响应器,以确保认证证书有效并未被中止或撤销
使用数字签名认证和PKI时,确保NTP服务器、CDPs和OCSP响应器等元素得到适当保护,避免DOS攻击,否则会影响IPsecVPN
八点八分相对弱安全CA私钥存储
数字签名认证提供强安全,如果攻击者设法获取验证局私钥,特别是rootCA,则会完全削弱安全
这是因为CAs发布证书作为数字签名认证基础私钥CA允许攻击者向自己签发证书并使用VPN网关认证
确保私钥CA或使用硬件安全模块
9.IPsecVPN网关配置文件存储过程
如果您决定保留预共享密钥验证, 不可忽略攻击者可能访问 VPN网关配置文件的可能性 。if he can获取配置文件,预分享密钥以简文本显示(未加密),游戏即开始-VPN现已开通
Cisco路由器避免此可能性加密预分享密钥.
10号无认证加密使用
破坏IPsecVPN的最后方法在我前十名使用加密而不认证
一n某些环境,使用加密而不认证可令VPN易失信切写攻击切片攻击可允许攻击者恢复非加密消息传递
保证VPN使用加密认证
简编:
开工使用预分享密钥时,特别是攻击式密钥时,避免使用正则XAUT并使用混合验证或CRACK
二叉使用数字签名认证时,不要忘记保护PKI元素不受攻击
3级使用数字签名验证时,确保您的私密密密钥得到强力保护
4级确定攻击者无法访问 VPN网关配置文件,内含非加密预分享密钥
5级无认证从不使用加密
呼就是这样-如果你执行这些建议,你的VPN应该安全,不是吗?额,对不起,不-那只是我的顶部十大vulnerabilities.
验证IPsecVPN适当设计配置时需做的其他事
开工确定IPsecVPN网关不配置使用IKE策略和IPsec变换优先指定强密码算法,但允许回退弱算法意指IPsecVPN网关应指定强算法,如AES和HMAC-SHA,不允许使用56位DES等弱算法回溯连接
二叉IPsec连接非加密不可 除非你绝对确定你不需要加密
3级确保所有预分享密钥均由IPsecVPN客户端软件正确存储IPsecVPN软件可完全隐蔽或非加密存储Windows注册器预分享密钥或可能只是hiden并注意您的IPsecVPN客户端软件启动时不解密预分享密钥内存
4级不使用人工IPsec人工IPsec稀有,但如果使用它则不可能重锁,因此IPsecVPN更容易攻击
5级完全前沿保密PFS使用后IPsec键可能仍然安全,即使攻击者设法破坏IKE
6级确定IPsecVPN通道安全后,请查看网络保护方式举个例子,确保网络受保护 即使是远程用户笔记本电脑失密 或黑客访问远程网站网络存取控件和防火墙可帮助处理此事,并禁止拆解
7部署防火墙检查IPsecVPN接收量时,确保防火墙在所有IPsec保护消除后适当定位检查流量,它不仅仅是检查加密流量
就是这样isec常安全前置思想 不论配置方式如何 都支离破碎不单单单.
记住IPsecVPNS罐头安全性强-只需要适当设计配置
马克