[Aide] Test sécurité VPN IPcop

[tartine]

Bonjour

j'ai installé une IPCop avec un vpn site a site , avec un échange de "pre-shared key" . entre les deux sites , le systeme fonctionne très bien . Entre un système et un nomade ( ordinateur isolé) le VPN fonctionne aussi très bien.
Je souhaiterai tester la sécurité de ce systeme. Pour se faire , j'ai utilisé IKEPROBE et ike-scan , deux outils d'audit de VPN qui forces le serveur VPN en mode agressif.
IKEPROBE m'indique qu'il y a une faille a ce niveau, et wireshark me le confirme.Cependant , quand je souhaite recupere le HASH du la clé , celui-ci timeout et ne me renvoie rien .

Est-ce un mecanisme d'auto defense de ipcop ?
Un soft qui marche mal ?
ou juste moi qui ne sais rien faire ?

Tartine

[tartine]

Problème résolu , j'ai sniffé le hash et craqué celui-ci.

Prudence donc : meme si IPCop affirme le contraire , il repond à certaines attaque par methode agressive .

bonne soirée a tous

[Franck78]

Salut,
Que veux-tu qu'on fasse de ce que tu dis???

Les généralités ca ne suffit pas. Tu as 'cracké' un hash? Ca ne veut rien dire!
Ton outil force le 'agressive mode', pourtant j'ai pas souvenir que le réglage IPSec d'IPCop le permette ce mode...



bye

[tartine]

C'est ce que je pensais au debut aussi .
mais , y'a un truc ; tu essai une premier fois de te connecter en mode main. Et ensuite , tu lance lun test du mode aggresif et il est OK pour un echange sous un AES et SHA1 group DH 1 .

apres , il ne reste qu'a recuperer le handshake (wireshark ,winpcap , cain et abel ) et a le forcer offline avec les rainbow tables ou avec un brute force , pour les courageux.

bonne soirée

[antolien]

ça parraît si facile..
Même sans agressive mode.
Si tu prends un md5 en 10 caractère c'est sûr.
Si tu prend un sha avec un certificat de 2048 bits.
Puis tout dépend de la durée de vie des clés ipsec,le pfs et de pleins de choses encore.
m'enfin tout le monde peux dire n'importe quoi pour faire peur ou aussi rassurer

[antolien]

apres , il ne reste qu'a recuperer le handshake et a le forcer offline avec les rainbow tables ou avec un brute force , pour les courageux.
bonne soirée

d'accord à toi aussi

[tartine]

ça parraît si facile..
Même sans agressive mode.
Si tu prends un md5 en 10 caractère c'est sûr.
Si tu prend un sha avec un certificat de 2048 bits.
Puis tout dépend de la durée de vie des clés ipsec,le pfs et de pleins de choses encore.
m'enfin tout le monde peux dire n'importe quoi pour faire peur ou aussi rassurer

beeeen , je ne sais pas trops , mais bon , le mode aggresif envoie justement le hash sans cryptage ( contrairement au mode main) d'apres ce que j'ai compris .
Cette faille n'est effectivement valable que contre les pre shared key .
j'ai pas non plus voulu faire peur ou rassurer , au debut , j'ai juste demandé un conseil et tout le monde monte sur ses grands cheveaux :/ j'ai pas non plus demandé
olololololol ki a un Xploit pr phpbb?
la doc :
http://www.securityfocus.com/infocus/1821

[antolien]

J'ai pas trop regardé ton lien.
mais la première chose, un vpn en psk nécessite une ip fixe a la base(j'espère que c'est le cas encore!).
et donc tu ne passeras pas le mode main avant de chaparder l'ip.

[antolien]

j'ai pas non plus voulu faire peur ou rassurer , au debut , j'ai juste demandé un conseil et tout le monde monte sur ses grands cheveaux :/ j'ai pas non plus demandé
olololololol ki a un Xploit pr phpbb?

pas de souci, personne ne monte sur ces grands cheveaux, mais tu poste un message sans précision et tu reviens quelques heures après en disant " j'ai cassé le hash"
ok d'accord, mais on ne savait même pas quel hash tu estimes avoir cassé a la base..

[tartine]

Oui et non , c'est une option relative a l'utilisateur( VPN client a serveur)
donc , effectivement , c'est plus une recommendation plus qu'autre chose ^^



bon , je pense que l'on peut placer ce sujet a "résolu" ( non ? )

[antolien]

résolu je ne pense pas. c'est le moment d'en discuter.

je ne savais pas qu'ipcop permettai le psk pour les nomades
un certificat autosigné est plus rassurant tout de même.

[Franck78]

résolu je ne pense pas. c'est le moment d'en discuter.

je ne savais pas qu'ipcop permettai le psk pour les nomades
un certificat autosigné est plus rassurant tout de même.

Il autorise un seul nomade avec clé partagée. Pour plusieurs nomades il faut effectivement des certificats.
Simplement a cause du fait qu'en l'absence d'IP (nomade donc), le serveur ne sait pas quel triplet
"IP IP PSK" choisir dans ipsec.secrets; (* IP PSK) matche toujours la première entrée
(les IP sont les extrémités du vpn).

[tartine]

Bonjour bonjour !

Voici donc ZE outil utilisé pour les tests en mode aggresif ainsi que ceux qui m'on permis de mener a bien ce petit "trick"

tout d'abord : IKEPROBE
http://www.buha.info/files/user/html/id ... Probe.html

il test une série de combinaison crypt/hash/DHgroup , regarde les reponses et indique si le systeme reponds a une demande du type agrresif. .
La capture des trames envoyées.



Ensuite , vient Cain et abel , outils qu'il n'est plus besoin de présenter

http://www.oxid.it/cain.html
c'est grace à lui que j'ai sniffé et decrupté le hash (de la PSK)

Ces tests ont été réalisé avec la configuration suivante :

http://www.hiboox.com/lang-fr/image.php ... pnwe60.jpg


sur une VMware .


Donc , recommendation : ne pas utiliser de PSK , mais plutot des certificats.
Ensuite , filtrer les IP , si vous ne pouvez pas (IP dynamique) achetez une ip statique

voila voila si vous souahitez eclaircir ou que j'eclaircice un point : feel free