电脑知识
关键词:路由器 学习认识睡眠,待机、休眠、的不同点! 破解Win 7系统的密码 电脑硬件 系统使用

文章阅读:

文章分享

更多
您现在的位置:电脑知识 >> 网络技术 >> 无线网络技术 >> 浏览文章

Wireless VPN攻防实战

2015-4-13 12:53:12 本站原创 佚名 【字体: {SQL_我要评论()}

 VPN原理
    本节来说明VPN的工作原理。

1  虚拟专用网的组件
    VPN全称为Virtual Private Network,即虚拟专用网,其目的是为了实现建立私有的安全 通信通道,方便远程用户能够稳定、安全地连接至企 业内部网络,访问内部的资源。其基本工作原理如 图12-1所示。
    VPN主要包括以下组件:
    ●虚拟专用网( VPN)服务器:可以配置VPN服务器以提供对整个网络的访问,或限制仅可访 问作为VPN服务器的计算机的资源。
    ●VPN客户端:是获得远程访问VPN连接的个人用户或获得路由器到路由器VPN连接

Wireless  VPN攻防实战图12-1 

 ●LAN、远程访问及隧道协议:应用程序使用LAN协议传输信息。远程访问协议用   于协商连接,并为通过广域网( WAN)连接发送的LAN协议数据提供组帧。隧道   协议是为了进行身份验证、加密及数据压缩。

隧道协议
    VPN客户端通过使用PPTP或L2TP隧道协议,可创建到VPN服务器的安全连接。 以下内容仅显示虚拟专用网可能的配置,实际工作实施和配置可能会有所不同。
    1.PPTP概述
    点对点隧道协议( PPTP)是一种VPN隧道协议。PPTP是点对点协议(PPP)酌扩展, 并协调使用PPP的身份验证、压缩和加密机制。PPTP的客户端支持内置于Windows .XP 中的远程访问客户端。
    Windows Server 2003支持PPTP的VPN服务器的实现。在系统初始安装时,PPTP将 与TCP/IP协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP 可以配置为5个或128个PPTP端口。PPTP和“Microsoft点对点加密”(MPPE)提供了 对专用数据封装和加密的主要VPN服务。

  2.L2TP概述

L2TP是一个工业标准Internet隧道协议,它为通过面向数据包的介质发送的PPP帧提 供封装。与PPTP -样,L2TP也利用PPP的身份验证和压缩机制,但与PPTP不同的是, L2TP不采用“Microsoft点对点加密”(MPPE)方式来加密PPP帧,L2TP依赖于加密服务 的Internet协议安全性(IPSec)。基于L2TP的虚拟专用网连接是L2TP和IPSec的组合, L2TP和IPSec二者都必须被双方路由器所支持。
    3. IPSec概述
    IPSec即Internet协议安全性,是一种开放标准的框架结构,通过使用加密的安全服务 以确保在Internet协议(IP)网络上进行保密而安全的通信。
    IPSec是安全联网的长期方向,为防止专用网络和Internet攻击提供了主要防线。它通 过端对端的安全性来提供主动的保护,以防止专用网络与Internet的攻击。在通信中,只有 发送方和接收方才是唯一必须了解IPSec保护的计算机。
    IPSec通过数据包筛选及受信任通信的实施来防御网络攻击。通常,通信两端都需要 IPSec配置(称为IPSec策略)来设置选项与安全设置,以允许两个系统对如何保护它们之 间的通信达成协议。
    4.Pre-Shared Key概述
    Pre-Shared Key(预共享密钥)是一串用以验证L2TP/IPSec连接的Unicode字符,可 以配置“路由和远程访问”以验证支持预共享密钥的VPN连接。
    预共享密钥的优点是不要求公钥基础设施( PKI)的硬件和配置投资,而PKI对于使 用计算机证书进行L2TP/IPSec身份验证则是必需的。这样在远程访问服务器上配置预共享 密钥很简单,在远程访问客户端上配置预共享密钥也相对较容另。
    但是与证书不同,预共享密钥的起源和历史都无法确定。单个远程访问服务器对需要预 共享密钥以进行身份验证的所有L2TP/IPSec连接只能使用一个预共享密钥。因此,必须对 连接到使用预共享密钥的远程访问服务器的所有L2TPfIPSec VPN客户端发行同一预共享 密钥。所以,使用预共享密钥验证L2TP/IPSec连接被认为是一种相对较弱的身份验证方法。 如果需要一种长期、安全可靠的身份验证方法,则应考虑使用PKI。

12.1.3无线VPN
    1.关于无线VPN
    询问任何熟悉安全的IT专业人员有关在企业环境中使用无线网络的问题,他们都会告诉用 户:普通的AP安全措施并不能真正解决问题。无线通信的广播性质、日益高级的无线监听工 具和坡解无线AP传输数据的手段,都表明若不采用额外的措施,无线网络也将无法保证安全。
    通常的安全建议是:把无线AP放入企业内部的某一网段中,并将这一网段用防火墙保 护起来,防止内部网的其他部分与无线AP连接;然后采取的步骤是让所有的无线客户使用 虚拟专用网软件,这样的无线网络会更安全一些。同时,如果企业网络存在一个DMZ(半 军事化区,内部网络与外部互联网之间的半安全区域),就使用DMZ;如果没育DMZ,应 坚持使用原有的方法,使用单独的电缆隔离或者AP的虚拟网络,让数据在进入内部网之前通 过一个防火墙,只让这个通信停留在网络安全的一边。无线VPN认证简化过程如表12-1所示。

Wireless  VPN攻防实战表12-1    

由表12-1可知,基于无线网络的VPN实际上就是传统的有线网络VPN的合理延伸。 通过无线接入点或无线路由器的中转,使得外部用户可以通过VPN连接到内部网络,从而 访问内部资源。作为一种安全策略,无线VPN可以有效地将原本透明的无线网络提升到一 个高安全的阶段。
    2.虚拟专用网和无线AP结合
    常见的有两种模式可以把虚拟专用网和无线AP结合起来。
    第一种模式:把AP放在Windows服务器的接口上,使用Windows内置的虚拟专用网 软件增加无线通信的覆盖范围。
    这种方法允许用户使用内置的Windows客户端软件以及L2TP和IPSec软件,为用户的 无线网络通信进行加密。这种技术也适用于 支持同样的内置或者免费的虚拟专用网客 户端软件的其他操作系统。这个方法的好处 是使用内置的软件,客户端软件的变化很 小,非常容易设置和应用,不需要增加额外 的服务器或者硬件成本。不足的是增加了现 有的服务器的额外负荷(根据提供服务的 AP的数量和使用这些AP的客户数量的不 同,负荷也有所不同),也可能导致服务器 执行其他的任务时效果不好。如果同一服务 器还提供防火墙功能,那么额外负荷可能会 需要使用其他的服务器或者采用不同的方 法,其拓扑原埋如图12-2所示。

Wireless  VPN攻防实战
    第二种模式:使用一个包含内置虚拟专用网网关服务的无线AP。
    一些网络设备公司目前提供一种单个机箱的解决方案,这种解决方案集成了AP和虚 拟专用网功能,使应用无线安全网络更加容易。这种预先封装在一起的两种功能结合的设 备很容易安装、设置、配置和管理,而且很容易强制规定政策,让每一个无线连接都使用 虚拟专用网完成连接。由于这种方法在使用的时候很容易选择,加密也更加合理了,避免 了802.1X加密为虚拟专用网连接增加的费用。这种方法的缺点是价格昂贵,购买新的机 器只能满足新的无线局域网子网的需求,在不更换硬件的情况下很难从一种无线技术升级 到另一种技术等。   还有一种方法是指定一台在DMZ(或者在自己的网段)的服务器,专门处理无线连接、VPN 网关需求以及防火墙信息,开启或关闭无线网段。这样,在其中增加一个虚拟专用网,不但可以 提高机密资料传输的安全性,也会使得日常网络通信在无线网络中就像在有线网络中一样安全。

12.2  无线VPN攻防实战
    一提到VPN,绝大多数公司管理员及用户的看法都是:VPN环境已经属于高级别 安全防护,足以保证企业内部信息通信的安全与稳定。而对于大多数中小型企业,为了便 于工作及都署,基本都是采用PPTP及强化的IPSec VPN,至于大型企业及分支众多的分店 型企业,则较多使用SSL VPN。作为无线领域的延伸,无线VPN在带来便捷的同时,也面 临着和有线网络VPN -样的威胁。下面分别以Windows Server 2003下的PPTP及IPSec VPN 为例,来进行安全威胁试验及分析。

12.2.1  攻击PPTP VPN
    对于采用PPTP验证的VPN,可以使用中间人攻击实现,在截获到VPN客户端登录 VPN服务器/设备的数据报文之后,就可以使用asleap进行坡解了。 圆扫描VPN设备。 心怀恶意的攻击者在对VPN设备进行攻击前,需要先对预攻击目标进行确认,这就需 要扫描来发现及识别目标。对于最常见的PPTP VPN,攻击者常会使用NMAP这款在命令提 示符下工作的扫描器来进行探测。当然,其图形化版本Zenmap也非常好用。Zenmap提供 了很好的界面帮助用户进行NMAP常见的扫描选项,并能够将结果用不同颜色标识,以便 用户查看所需的内容。
    如图12-3所示,通过采用Full version Detection Scan(完整版本探测模式),作为新版 本的Zenmap,成功扫描出国标开放的1723端口,此为PPTP服务器标准端口。在这里可以 看到,Zenmap同时识别出目标操作系统为Windows Server 2003以及该系统对应的内部版本 号,其扫描的结果非常准硝。

Wireless  VPN攻防实战图12-3  

截获VPN交互数据包。

  接下来,采用之前所讲述的中间人攻击方式,比如ARP欺骗等,攻击者会使用ettercap或 者Cain来实现,即可截获VPN交互数据包。如图124所示,使用ettercap就可以直接过滤出 采用MS CHAP v2加密的VPN用户登录Hash值,其中包含了VPN用户登录账户名及对应密码。

Wireless  VPN攻防实战图12-4

若直接使用Ethereal或者Wireshark抓包,也可看到数据包中具体的数据形态及整体结构。 如图12-5所示,打开捕获包中的PPP Challenge Handshake Authentication Protocol栏,即PPP握手 验证协议栏,可以看到在Data中Value处显示的 加密Hash值。在其下方,也同时显示出截获的VPN 客户端登录账户名为tom。  

 

Wireless  VPN攻防实战

坡解VPN客户端用户账户名及密码。

在获得VPN之间的通信数据报文后,就可 以使用专有工具进行坡解了。
    工具介绍:asleap 图12-5使用WireShark捕获的加密Hash值
    asleap是一款用于恢复LEAP和PPTP加密密码的免费工具,其原理主要是基于LEAP 验证漏洞,但由于PPTP同样使用了和LEAP -样的MS CHAP v2加密,所以这款工具也可 用于坡解PPTP账户及密码。asleap包含的组件如表12-1所示。
    Wireless  VPN攻防实战表12-2

在进行VPN坡解前,攻击者会先使用genkeys来建立坡解专用字典文件,命令如下:Wireless  VPN攻防实战

参数解释:

●-r:后跟事先准备的字典文件。

●一f:后跟预制作的DAT格式的Hash文件。

●-n:后跟预制作的IDX格式的index文件。

按【Enter]键后,可看到图12-6所示的内容。

Wireless  VPN攻防实战
    从图12-6中可以看到,文件的生成速度很快,一般来说,对于大型字典的转换,Hash 生成速度可以保持在每秒10000个Hash。接下来,攻击者就可以使用asleap进行暴力坡解 了,其基本坡解命令如下:   Wireless  VPN攻防实战

  参数解释:

  ●.r:后跟截获的VPN客户端登录数据包。
    ●一f.后跟使用genkeys制作的DAT格式字典文件。
    ●-n:后跟使用genkeys制作的IDX格式字典文件。
    如图l2-7所示,在将使用Wireshark截获到的PPTP登录数据包导入到asleap后,经过 很短时间的坡解,便成功地将名为xiaobai的VPN客户端账户对应的密码解开,即password 栏显示的1126,此为典型的生曰密码。

Wireless  VPN攻防实战
    由于asleap采用的是字典坡解,所以若对方采用高复杂度密码,将不能够轻易坡解出密 码,同时程序会出现提示Could not find a matching NT hash......,意思是说在该字典中没有找 到匹配的密码,要求用户再尝试其他的字典,如图12-8所示。

Wireless  VPN攻防实战

12.2.2攻击启用IPSec加密的VPN

扫描VPN设备

有的企业在部署VPN时会在安全上有更多考虑,比如启用IPSec,这确实是提高安全性 的方法之一。对于启用了IPSec的VPN,攻击者常会使用IPSecScan这款在命令提示符下工 作的VPN扫描器。
    工具介绍:IPSecScan
    用于扫描网络中启用IPSec的设备,经常被用来探测VPN设备。从图12-9中可以看 到,对指定IP地址段进行VPN探测,发觋其中一台主机的IPSec状态为Enabled,即该地 址很可能为VPN设备。使用命令非常简单,直接跟上预扫描的IP地址即可,命令如下:   Wireless  VPN攻防实战

   扫描结果如图12-9所示,发现了一个启用IPSec的设备。

Wireless  VPN攻防实战 图12-9

确认VPN设备。

为了进行更进一步地确认,以便发掘出VPN设备类型或者操作系统版本,此时,就需 要使用到IKE-Scan了。
    工具介绍:IKE-Scan
    这是排名全球100强黑客工具中的VPN检测器和扫描器。IKE-Scan是一款检测IKE (Internet Key Exchange)服务传输特性的工具,IKE是VPN网络中服务器和远程客户端建立 连接的机制。在扫描到VPN服务器的lP地址后,将改造过的IKE数据包分发给VPN网中 的每一台主机,只要是运行IKE的主机就会发回反馈来证明它存在。然后此工具对这些反馈 数据包进行记录和显示,并将它们与一系列已知的VPN产品指纹进行对比。IKE-Scan的VPN 指纹包含来自于Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。该工具同样 有Windows和Linux两个版本。
    其基本使用命令如下:
    Wireless  VPN攻防实战

    参数解释:
    ●--sport=<port>:设置UDP源端口,默认为500,使用随机瑞口则设置为0,在Windows下的IKE-Scan版本当出现默认端口500冲突时使用该参数,Linux下则无须此参数。
    ●-M:将扫描结果逐行显示,这样可以使得结果更加易读取。最后跟上目标IP地址。
    如图12-10所示,扫描完毕后,可看到出现类似于“Enc=3DES Hash=SHAl Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration (4) =Ox00007080”的提示,其 含义就是说采用了3重DES加密,启用SHA1作为HMAC Hash算法,Difiie-Hellman group 2 类型(即1024位modp group),Pre-Shared Key (PSK)预共享验证,SA周期为7080秒。

Wireless  VPN攻防实战图12-10
    接下来,进行目标VPN操作系统或设备版本探测,使用命令如下:
    Wireless  VPN攻防实战

    其中,--showbackoff用于对远程lP地址进行VPN设备指纹识别,同时显示详细的 fingerprint table(指纹表)内容。
    扫描结果如图12-11所示。
    Wireless  VPN攻防实战图12-11
    注意,返回结果中显示为VID的部分,由于几乎所有基于微软的IPSec服务器运行时都 会发送类似的Hash(散列),但是不同版本的Windows在Hash的尾部会有所区别,这可以 较精准地判断出Windows VPN服务器版本。这里总结了一些较为典型的VID值与操作系统 的对应列表,如表12-3所示。

Wireless  VPN攻防实战 表12-3    

叱如在图12-11中探测获取的VID值为(黑框标出):
 Wireless  VPN攻防实战

    经对比Hash尾部数据可以判断出该VPN服务器版本为Windows Server 2003或者 Windows XP SP2,但由于外部服务器极少会使用Windows XP作为平台,所以基本可确定目 标为Windows Server 2003。
    在进行中间人攻击时,也可以通过使用Ethereal抓包分析ISAKMP协议中Vendor ID段 得出同样的结论,如图12-12所示的中间及底部显示的内容。  

坡解VPN客户端用户账户名及密码。

在进行前面提及的中间人攻击的基础上,就可以基于截获的数据报文对Pre-Shared Key ( PSK)进行暴力坡解了,这里使用Cain&Abel实现截获PSK Authentication Hash(预共享 验证散列)来进行暴力坡解或字典坡解,如图12-13所示。
   Wireless  VPN攻防实战 图12-12    图12-13
    简单来说,基于无线部署的VPN就是有线网络VPN的延伸,那么,对于传统的有线网络 中VPN面临的安全隐患,在无线中依然存在。正如前面谈及密码设置技巧时说到的,很多员工、 管理员甚至是安全人员,并没有按照公司或者企业指定的保密要求规范来设定密码,绝大部分 还是遵循了方便、好记等一般人记忆的普遍特性。而既然密码有规律,从攻击者角度而言,就 意味着存在渗透成功的机会。这样刚讲述的坡解VPN账户登录密码也就成为了可能。

12.2.3本地坡解VPN登录账户名及密码
    在实际工作中,总会有一些用户为了自己登录方便,将VPN账户名及密码设置为保存, 这样,在每次使用VPN客户端登录时,只需要直接双击快捷方式系统就会自动登录到远程 VPN服务器。
    由于这些信息会被保存到注册表中,所以只要使用相关工具攻击者就可以宣接从注册表 中将其还原出来,都不需要额外的坡解,如图12-14所示。

Wireless  VPN攻防实战
    所以说,若有攻击者可以接近该VPN客户端所在的计算机,这台计算机上的VPN账户 名及密码就已经算被攻破了,即便采用了IPSec也无济于事。所以身为VPN用户应注意不 要因为自己一点点的“懒惰”心理,就给了攻击者可乘之机。

12.3防护及改进
    看到前面攻击VPN的例子,有些做网络管理员的朋友估计要出一身冷汗:连VPN都被 攻破了,看来已经没有什么是安全的了!其实也没有到如此严重的地步,虽然看起来VPN 好像已经可以很容易地被坡解出客户端账户名及对应密码,但是这一切都主要是基于截获到 的验证数据包和坡解所使用的字典内容。相应地,在了解了攻击VPN所采取的措施方式后, 强化VPN的方法也就出来了。
    强化VPN环境主要有以下几个方面:
    ●除管理员等授权人员之外,禁止任何不相干人员进入敏感机房,以及接触VPN设备/
    客户端等,应设定严格的登记制度,必要时应配备监控设备。
    ●账户密码应采用较复杂的设置,这样可以有效避开字典攻击的威胁。
    ●对于企业内网环境,应当及时做好防范中间人攻击,比如ARP欺骗攻击的准备,根
    据需要在服务器上安装相应的防护工具,配置防火墙规则以抵御ARP攻击。
    ●作为对安全环境有着较高要求的企业,应当将PPTP VPN软件/硬件环境升级到IPSec
    VPN或者SSL VPN。
    定期进行内部安全培训,以提高工作人员安全意识及习惯,从而达到提升整体安全环境 的目的。

Wireless VPN攻防实战来自:http://www.woaidiannao.com/html/wlgz/wxwljs/10920.html

相关文章阅读:

网友评论:


图片文章
精品在线