22 de febrero de 2010

VPN PenTest

En el entorno maleable que se ha convertido el perímetro de nuestras organizaciones el uso de las tecnologías de Virtual Private Network, junto con un montón de cosas que vimos en la entrada de Trusted Network Connect supuso una especie de panacea en el acceso y consumo de servicios de nuestra organización.

Es tal la confianza que se tiene en la tecnología VPN (ya sea basada en IPSec, o en SSL) que muchas veces se caen en errores obvios que directamente exponen toda la organización. En el entorno actual de movilidad total para todos nuestros usuarios, todos nuestros proveedores, etc. auditar nuestros terminadores / servidores de túneles es casi una obligación. Hoy veremos algunos de los fallos más comunes y en los que casi nunca se caen.

Google

Una vez más el buscador se convierte en una herramienta de doble filo, por ejemplo, sabemos que los archivos de configuración de los terminadores de túnel CISCO tienen extensión .pcf, una pequeña búsqueda nos da resultados interesantes, con ficheros de configuración que albergan contraseñas codificadas:

AuthType=1
!GroupName=VPNeveryone
!GroupPwd=
!enc_GroupPwd=227CBC3037A8138A9C1
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=
!SaveUserPassword=0
UserPassword=
NTDomain=
EnableBackup=1
BackupServer= *************************************
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
 

Lo cual no sería un problema si no fuera por que existen herramientas que rompen el cifrado en poco tiempo, por ejemplo Cain:

Dándonos acceso completo a la intranet de una organización. No es un problema menor, ni el último de ellos.

Cliente VPN

Revisando el cliente VPN de CISCO que utilizamos en nuestro acceso podemos detectar (y aquí tenéis que hacer un acto de fe ya que he tenido que borrar bastante info) que nuestro usuario y password está en claro en memoria:


Los pasos para hacer este volcado se vieron en RAM Dumping

Lo cual es una debilidad adicional (en este caso poco podemos hacer, más que cambiar de cliente) que si no es compensada con otras medidas (¿bloquear la pantalla?) puede ser un problema.

Fingerprint

Los servidores VPN como todos los servicios también son sensibles al fingerprint, un sencillo nmap basta para detectar los servicios que corren en esa máquina y su versión:


Dándonos información más que jugosa. Aparte de los habituales Caín, Nmap, etc. existen herramientas especialmente dedicadas al pen-test de servidores VPN, como es Ike-Scan, capaces tanto de realizar ataques por fuerza bruta como de hacer fingerprint.

Como corolario os dejo un pequeño documento de auditoria de VPN, algo antiguo pero conserva totalmente su validez a día de hoy.

Salu2

1 comentarios:

xneo dijo...

A mi mas que Nmap me gusta un Scanner llamado -Scanline- de la empresa Foundstone. Corre bajo linea de comandos en Windows y sobre todo y bajo mi opinion es mas rápido. Una muestra de un escaneo.

sl -b-h-t-r 21,23,25,80,443,445 192.168.1.21

De verdad que recomiendo esta herramienta por fácil de utilizar y rápida que es.