WirelessVPN攻防实战.docx
《WirelessVPN攻防实战.docx》由会员分享,可在线阅读,更多相关《WirelessVPN攻防实战.docx(8页珍藏版)》请在冰豆网上搜索。
WirelessVPN攻防实战
WirelessVPN攻防实战
VPN原理
本节来说明VPN的工作原理。
1虚拟专用网的组件
VPN全称为VirtualPrivateNetwork,即虚拟专用网,其目的是为了实现建立私有的安全通信通道,方便远程用户能够稳定、安全地连接至企业内部网络,访问内部的资源。
其基本工作原理如图12-1所示。
VPN主要包括以下组件:
●虚拟专用网(VPN)服务器:
可以配置VPN服务器以提供对整个网络的访问,或限制仅可访问作为VPN服务器的计算机的资源。
●VPN客户端:
是获得远程访问VPN连接的个人用户或获得路由器到路由器VPN连接
图12-1
●LAN、远程访问及隧道协议:
应用程序使用LAN协议传输信息。
远程访问协议用于协商连接,并为通过广域网(WAN)连接发送的LAN协议数据提供组帧。
隧道协议是为了进行身份验证、加密及数据压缩。
隧道协议
VPN客户端通过使用PPTP或L2TP隧道协议,可创建到VPN服务器的安全连接。
以下内容仅显示虚拟专用网可能的配置,实际工作实施和配置可能会有所不同。
1.PPTP概述
点对点隧道协议(PPTP)是一种VPN隧道协议。
PPTP是点对点协议(PPP)酌扩展,并协调使用PPP的身份验证、压缩和加密机制。
PPTP的客户端支持内置于Windows.XP中的远程访问客户端。
WindowsServer2003支持PPTP的VPN服务器的实现。
在系统初始安装时,PPTP将与TCP/IP协议一同安装。
根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP可以配置为5个或128个PPTP端口。
PPTP和“Microsoft点对点加密”(MPPE)提供了对专用数据封装和加密的主要VPN服务。
2.L2TP概述
L2TP是一个工业标准Internet隧道协议,它为通过面向数据包的介质发送的PPP帧提供封装。
与PPTP-样,L2TP也利用PPP的身份验证和压缩机制,但与PPTP不同的是,L2TP不采用“Microsoft点对点加密”(MPPE)方式来加密PPP帧,L2TP依赖于加密服务的Internet协议安全性(IPSec)。
基于L2TP的虚拟专用网连接是L2TP和IPSec的组合,L2TP和IPSec二者都必须被双方路由器所支持。
3.IPSec概述
IPSec即Internet协议安全性,是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通信。
IPSec是安全联网的长期方向,为防止专用网络和Internet攻击提供了主要防线。
它通过端对端的安全性来提供主动的保护,以防止专用网络与Internet的攻击。
在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。
IPSec通过数据包筛选及受信任通信的实施来防御网络攻击。
通常,通信两端都需要IPSec配置(称为IPSec策略)来设置选项与安全设置,以允许两个系统对如何保护它们之间的通信达成协议。
4.Pre-SharedKey概述
Pre-SharedKey(预共享密钥)是一串用以验证L2TP/IPSec连接的Unicode字符,可以配置“路由和远程访问”以验证支持预共享密钥的VPN连接。
预共享密钥的优点是不要求公钥基础设施(PKI)的硬件和配置投资,而PKI对于使用计算机证书进行L2TP/IPSec身份验证则是必需的。
这样在远程访问服务器上配置预共享密钥很简单,在远程访问客户端上配置预共享密钥也相对较容另。
但是与证书不同,预共享密钥的起源和历史都无法确定。
单个远程访问服务器对需要预共享密钥以进行身份验证的所有L2TP/IPSec连接只能使用一个预共享密钥。
因此,必须对连接到使用预共享密钥的远程访问服务器的所有L2TPfIPSecVPN客户端发行同一预共享密钥。
所以,使用预共享密钥验证L2TP/IPSec连接被认为是一种相对较弱的身份验证方法。
如果需要一种长期、安全可靠的身份验证方法,则应考虑使用PKI。
12.1.3无线VPN
1.关于无线VPN
询问任何熟悉安全的IT专业人员有关在企业环境中使用无线网络的问题,他们都会告诉用户:
普通的AP安全措施并不能真正解决问题。
无线通信的广播性质、日益高级的无线监听工具和坡解无线AP传输数据的手段,都表明若不采用额外的措施,无线网络也将无法保证安全。
通常的安全建议是:
把无线AP放入企业内部的某一网段中,并将这一网段用防火墙保护起来,防止内部网的其他部分与无线AP连接;然后采取的步骤是让所有的无线客户使用虚拟专用网软件,这样的无线网络会更安全一些。
同时,如果企业网络存在一个DMZ(半军事化区,内部网络与外部互联网之间的半安全区域),就使用DMZ;如果没育DMZ,应坚持使用原有的方法,使用单独的电缆隔离或者AP的虚拟网络,让数据在进入内部网之前通过一个防火墙,只让这个通信停留在网络安全的一边。
无线VPN认证简化过程如表12-1所示。
表12-1
由表12-1可知,基于无线网络的VPN实际上就是传统的有线网络VPN的合理延伸。
通过无线接入点或无线路由器的中转,使得外部用户可以通过VPN连接到内部网络,从而访问内部资源。
作为一种安全策略,无线VPN可以有效地将原本透明的无线网络提升到一个高安全的阶段。
2.虚拟专用网和无线AP结合
常见的有两种模式可以把虚拟专用网和无线AP结合起来。
第一种模式:
把AP放在Windows服务器的接口上,使用Windows内置的虚拟专用网软件增加无线通信的覆盖范围。
这种方法允许用户使用内置的Windows客户端软件以及L2TP和IPSec软件,为用户的无线网络通信进行加密。
这种技术也适用于支持同样的内置或者免费的虚拟专用网客户端软件的其他操作系统。
这个方法的好处是使用内置的软件,客户端软件的变化很小,非常容易设置和应用,不需要增加额外的服务器或者硬件成本。
不足的是增加了现有的服务器的额外负荷(根据提供服务的AP的数量和使用这些AP的客户数量的不同,负荷也有所不同),也可能导致服务器执行其他的任务时效果不好。
如果同一服务器还提供防火墙功能,那么额外负荷可能会需要使用其他的服务器或者采用不同的方法,其拓扑原埋如图12-2所示。
第二种模式:
使用一个包含内置虚拟专用网网关服务的无线AP。
一些网络设备公司目前提供一种单个机箱的解决方案,这种解决方案集成了AP和虚拟专用网功能,使应用无线安全网络更加容易。
这种预先封装在一起的两种功能结合的设备很容易安装、设置、配置和管理,而且很容易强制规定政策,让每一个无线连接都使用虚拟专用网完成连接。
由于这种方法在使用的时候很容易选择,加密也更加合理了,避免了802.1X加密为虚拟专用网连接增加的费用。
这种方法的缺点是价格昂贵,购买新的机器只能满足新的无线局域网子网的需求,在不更换硬件的情况下很难从一种无线技术升级到另一种技术等。
还有一种方法是指定一台在DMZ(或者在自己的网段)的服务器,专门处理无线连接、VPN网关需求以及防火墙信息,开启或关闭无线网段。
这样,在其中增加一个虚拟专用网,不但可以提高机密资料传输的安全性,也会使得日常网络通信在无线网络中就像在有线网络中一样安全。
12.2无线VPN攻防实战
一提到VPN,绝大多数公司管理员及用户的看法都是:
VPN环境已经属于高级别安全防护,足以保证企业内部信息通信的安全与稳定。
而对于大多数中小型企业,为了便于工作及都署,基本都是采用PPTP及强化的IPSecVPN,至于大型企业及分支众多的分店型企业,则较多使用SSLVPN。
作为无线领域的延伸,无线VPN在带来便捷的同时,也面临着和有线网络VPN-样的威胁。
下面分别以WindowsServer2003下的PPTP及IPSecVPN为例,来进行安全威胁试验及分析。
12.2.1攻击PPTPVPN
对于采用PPTP验证的VPN,可以使用中间人攻击实现,在截获到VPN客户端登录VPN服务器/设备的数据报文之后,就可以使用asleap进行坡解了。
圆扫描VPN设备。
心怀恶意的攻击者在对VPN设备进行攻击前,需要先对预攻击目标进行确认,这就需要扫描来发现及识别目标。
对于最常见的PPTPVPN,攻击者常会使用NMAP这款在命令提示符下工作的扫描器来进行探测。
当然,其图形化版本Zenmap也非常好用。
Zenmap提供了很好的界面帮助用户进行NMAP常见的扫描选项,并能够将结果用不同颜色标识,以便用户查看所需的内容。
如图12-3所示,通过采用FullversionDetectionScan(完整版本探测模式),作为新版本的Zenmap,成功扫描出国标开放的1723端口,此为PPTP服务器标准端口。
在这里可以看到,Zenmap同时识别出目标操作系统为WindowsServer2003以及该系统对应的内部版本号,其扫描的结果非常准硝。
图12-3
截获VPN交互数据包。
接下来,采用之前所讲述的中间人攻击方式,比如ARP欺骗等,攻击者会使用ettercap或者Cain来实现,即可截获VPN交互数据包。
如图124所示,使用ettercap就可以直接过滤出采用MSCHAPv2加密的VPN用户登录Hash值,其中包含了VPN用户登录账户名及对应密码。
图12-4
若直接使用Ethereal或者Wireshark抓包,也可看到数据包中具体的数据形态及整体结构。
如图12-5所示,打开捕获包中的PPPChallengeHandshakeAuthenticationProtocol栏,即PPP握手验证协议栏,可以看到在Data中Value处显示的加密Hash值。
在其下方,也同时显示出截获的VPN客户端登录账户名为tom。
坡解VPN客户端用户账户名及密码。
在获得VPN之间的通信数据报文后,就可以使用专有工具进行坡解了。
工具介绍:
asleap图12-5使用WireShark捕获的加密Hash值
asleap是一款用于恢复LEAP和PPTP加密密码的免费工具,其原理主要是基于LEAP验证漏洞,但由于PPTP同样使用了和LEAP-样的MSCHAPv2加密,所以这款工具也可用于坡解PPTP账户及密码。
asleap包含的组件如表12-1所示。
表12-2
在进行VPN坡解前,攻击者会先使用genkeys来建立坡解专用字典文件,命令如下:
参数解释:
●-r:
后跟事先准备的字典文件。
●一f:
后跟预制作的DAT格式的Hash文件。
●-n:
后跟预制作的IDX格式的index文件。
按【Enter]键后,可看到图12-6所示的内容。
从图12-6中可以看到,文件的生成速度很快,一般来说,对于大型字典的转换,Hash生成速度可以保持在每秒10000个Hash。
接下来,攻击者就可以使用asleap进行暴力坡解了,其基本坡解命令如下:
参数解释:
●.r:
后跟截获的VPN客户端登录数据包。
●一f.后跟使用genkeys制作的DAT格式字典文件。
●-n:
后跟使用genkeys制作的IDX格式字典文件。
如图l2-7所示,在将使用Wireshark截获到的PPTP登录数据包导入到asleap后,经过很短时间的坡解,便成功地将名为xiaobai的VPN客户端账户对应的密码解开,即password栏显示的1126,此为典型的生曰密码。
由于asleap采用的是字典坡解,所以若对方采用高复杂度密码,将不能够轻易坡解出密码,同时程序会出现提示Couldnotfind
升级会员 