通过简单工具对IPsec VPN进行渗透测试

现在企业的Gateway或是SD-WAN设备上都会提供IPsec VPN服务，一是为企业的分支机构提供远程安全互通方法（Site to Site ----即企业其它分支结构与本地GW之间建立安全隧道）， 再者是给企业的员工提供远程接入公司内网的入口（如L2TP/IPsec, PPTP等）。

在这个情况下，IPsec VPN的服务（UDP端口500, 4500）将接受Internet的考验，有些可能会尝试破解密码(Pre-shared Key)、或是伪造证书（Certification），从而达到进入企业内部私网的目的，有些则利用IPsec协议实现的漏洞(内存溢出、协议一致性不严谨等)从而获得内部实现的信息达到破解目的，还有一些则是简单粗暴的对网关进行DDoS攻击。

所以，在IPsec VPN Server部署时为避免你的VPN Server因穿着太过暴露、招蜂引蝶，莫名其妙就被绿了，先自己做一次渗透测试能极大的提升你幸福感。发现IPsec VPN

Nmap是很好用的一个端扫描工具nmap –sU –p 500 172.12.0.10

参数-sU指定进行UDP扫描，-p指定扫描端口500，172.12.0.10目标主机地址（也可将目标地址放在一个列表中）

Ike-scan

Ike-scan是一个Linux下的命令行工具。该工具通过构造一个特殊的IKE请求报文发往目标VPN Server，将收到的任何信息记录下来。Ike-scan缺省使用Main Mode

默认模式扫描：

ike-scan -M 172.12.0.11

#默认扫描

由上述扫描结果可知SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024)

该IPsec VPN Server只是加密算法3DES，Hash算法为SHA1,认证方式为Pre-shared-key, GH组为2的参数组合策略。

#缺省扫描的报文分析

抓包可见，其发送的报文构造了IKE Header, 一个包含了8中transforms的Proposal:

3DES-CBC-SHA1_1024_group2

3DES-CBC-MD5_1024_group2

DES-CBC-SHA1_1024_group2

DES-CBC-MD5_1024_group2

3DES-CBC-SHA1_768_group1

3DES-CBC-MD5_768_group1

DES-CBC-SHA1_768_group1

DES-CBC-MD5_768_group1

定制扫描：

当IPsec VPN Server收到Proposal时，会将对端提供的Proposal与自己的策略组进行比对，仅当自己的策略组中某一个策略有与对方策略相同时，才会回应。因此，有些情况下，我们需要手动探索对方支持什么样的策略组合，如：ike-scan -M --trans=5,2,1,2,2 172.12.0.11

#定制扫描结果

参数transid提供了Proposal参数的定制化功能，一共有5个参数可供地址（参考RFC 2409）:

# transid参数说明

第一个参数是Encryption Algorithm：

# encryption algorithm ID及描述

第二个参数Hash Algorithm：

# hash algorithm ID及描述

第三个参数Authentication Method：

# 认证模式及描述

第四个参数Group Description：

# 可选Group ID

第五个参数Group Type:

# Group Type

有经验的测试人员应该立刻就能想到这个工具可用做后续的边界测试和异常探索测试（根据RFC提供的字段大小提供不同的值进行探索测试）

野蛮模式扫描：

有些IPsec VPN Server提供的是野蛮模式的接入方式，使用Main Mode时，对方不响应，ike-scan也可指定野蛮模式扫描：ike-scan -M --aggressive --trans=5,2,1,2,2 172.12.0.10

# 野蛮模式扫描

Fingerprint(指纹识别)：

很多厂商的IKE报文中会携带一些vendor-ID以下发一些私有属性，通过猜测vendor-ID有一定几率识别出设备信息（毒鸡汤：梦想还是要有的，万一实现了呢？）。但，识别需要耗费一定的时间，所以加参数showbackoff=10(给10s去猜测)：

# fingerprint sniff

PSK模式时的密码嗅探:

在野蛮模式下(aggressive mode),IPsec没有使用Diffie-Hellman算法来保护认证信息的交换，这就使黑客能截取到认证数据，然后使用离线破解工具（psk-crack）对密码进行破解。

ike-scan --pskcrack --aggressive --id=peer 172.12.0.10 > tmppsk.txt#嗅探认证信息，将认证信息保存到tmppsk.txt文件中

文件内容如下：

#认证数据嗅探保存的原始文件内容

通过编辑器删除认证信息以外的行，仅保留认证相关数据（有9个:隔开的几组数据），如：

# 删除非必要行后的认证数据文件内容

利用离线破解工具，对数据进行字典破解（也可以暴力破解）

# 成功破解出PSK密码： 123.com

其中mydict.txt是临时维护一个字典（维护字典是黑客自我修养的体现---长期工作），tmppsk.txt是我们捕获的认证信息。所谓字典其实就是一组你认为可能使用的密码，如：

# 字典内容示例

弱点扫描

IPsec VPN的实现相对比较复杂，而复杂的东西往往弱点也会很多，很多安全相关的站点会定期更新一些知名软件的缺陷报告，可参考进行检测，如：

# National Vulnerability Database

# Secunia

# SecurityFocus

很多弱点扫描工具，如MetaSploit Framework, Qualys, Core Impcat都可用于VPN网关的弱点扫描。

攻击测试：

通过xcap或是其他报文工具，抓取正常的IKE报文后，对必要的参数进行修改，检查被测试网关的资源使用情况（CPU、Memory、Socket、FD等），在持续压力情况下检查正常用户是否能正确建立隧道，从而评估VPN Server抵御DDoS攻击的能力