Kako napraviti VPN vezu Cisco – Linux? Site2Site, Cisco ASA, StrongSwan

Nedavno sam postavio pitanje na jednome forumu, kako da napravim vezu s Cisco firewallom i na drugoj strani, Linux serverom, ili čak Linux ruterom. Premda su odgovori ili lako ćeš to, imaš dosta tutoriala na Internetu, dok nisam sam počeo istraživati, nisam niti mislio koliki je to posao.

Premda i jedni i drugi koriste IpSec, posložiti sve da radi kako treba, koristeći Wizarde, GUIe i ostala pomagala je bilo nemoguće. Na kraju je tu dobri stari Command Line, bilo u debuggingu s Cisco strane, ili editiranju konekcije s Linux strane, bilo krucijalno za uspješan tunel.

1.  Kreiranje CryptoMaps s strane Cisco ASAe

U postavkama Site to Site VPNa, u dijelu Crypto Maps, dodajmo prvo “pregovaranja” oko zaštite našeg VPN tunela. IKE, označava prvi dio, pregovaranje i uspostavu tunela, dok ESP označava same podatke koje se prenose, nakon ugovorene metode zaštite tunela. Obratite pozornost da nisam dodavao Peer IP adresu, jer moj Linux je na dinamičkoj adresi. Nisam označio niti Perfect Forward Secrecy, premda bi bilo sigurnije da jesam.

cisco crypto

U naprednim postavaka sam označio NAT-T, i postavio vrijeme trajanja od 8 sati.

cisco crypto adv

Zadnji dio, je defincija mreža koje štitim. Lokalna, mreža 112, udaljena mreža 120.

cisco crypto net

2. ACL, NAT i statička ruta

U Access Control Listi sam definirao prolaz između ovih mreža.

acl

NATirao sam novu 120 mrežu na ASAi.

NAT VPN

Napravio sam statičku rutu route outside_line 192.168.120.0 255.255.255.0 IPAdresaMojGateway

3. Kreiranje tunela s strane Linuxa

Koristeći IpFire konzolu, dodao sam ovi tunel, i dao mu osnovne postavke, lokalne i udaljenu mrežu, vanjsku IP adresu ASAe, i preshared ključ. Naravno, za samu vezu ovo nije dovoljno, te u naprednim postavkama, možemo definirati postavke pregovora i veze.

linux side

Sjećate se naše crypto mape iz prvog dijela? E ona mora 100% odgovarati naprednim postavkama.

linux ipsec adv

I kada se vratite u vaše sučelje za VPN, vidjeti ćete da tunel nije ostvaren.

4. Enter “The Debug”

U logovima s strane Linuxa, vidimo da je radi nekog razloga, “prošenje” ASAe nije uspjelo, premda smo koristili identične načine dogovore oko ASAe. Zapravo, “prošnja” (IKE) je i bila uspješna, ali i promet (ESP) nije mogao ići. Odavde, radimo kroz command line, ja osobno koristim putty.

S strane ASAe, pokrenimo debug.

debug crypto isakmp 200

 

Pokrenimo sad opet inicijaciju tunela na Linuxu da dobijemo neku aktivnost. Zaustavimo debug.

undebug all

Hm, izgleda da je IKE se zbilja ostvario i pregovori su bili uspješni.

ipsec1

Međutim, radi nekog razloga druga faza nije mogla biti uspostavljena.

ipsec2

Idemo na naš Linux stroj i pronađimo naš ipsec.conf. On može biti, različito od distre do distre smješten u različitim folderima. Na Ipfireu je smješten na /var/Ipfire/vpn/ipsec.conf

Otvorimo ga s nekim editorom:

ipsec conf

Da, vidimo da naše ESP postavke ne odgovaraju onima na ASAi. Problem je taj što naš Linux stroj je prilikom pregovora koristio ili jednu, ili drugu metodu, a nikako obje. Dodavanje još -sha, će uspostavi i drugu fazu tunela i sigurno povezati vaše poslovnice.

ipsec conf edited

ipsec ipfire cisco asa

Oglasi

Skeniranje sustava na propuste – OpenVAS

greenbone SA 3 greenbone SA 2 greenbone SA 1OpenVAS (Open Vulnerability Assessment System), jest skup servisa i alata za skeiranje sustava na (poznate) propuste.

OpenVAS jest dosta jednostavno za koristiti, međutim njegova instalacija i nije tako jednostavna.  Za korištanje ćete trebati Ubuntu ili Fedoru, a na koju instalirate aplikaciju, međutim početna konfiguracija može uzeti dosta vremena. Čak i distre s kojima OpenVAS dođe predinstaliran zahtjevaju dosta predkonfiguracije. Kreiranje usera, certifikata, sinkronizacija ranjivosti, pokretanje više servisa… sve uzme dosta vremena. Pogledajmo kako to izgleda već kada smo ulogirani u OpenVAS, spremni za skeniranje i traženje propusta.

Masovno krpanje propusta

Intro – propusti softwarea

Sve češće imamo priliku čuti u IT vijestima, različite slučajeve propusta softwarea. Osim Windows/Linux propusta operativnih sustava koji se rješavaju updatom automatski, imamo i programe koji također mogu dovesti do ugrožavanja sigurnosti korisnika. Najčešći spominjan trojac je Adobe Flash, Adobe Reader i Oracle Java. U poslovnim okruženjima, problem ažuriranja softwarea je taj što korisnici sami nemogu ažurirati programe jer nemaju prava za instalaciju. Dakle jedan administrator bi trebao sjesti za sva računala u tvrtci u kojoj radi i unijesti svoj password i ažurirati programe. Kako je ovo pomalo naporan i glup posao, postoje različiti alati da bi ovo bezbolnije odradili. Osim različitih skripti, administratori u Enterprise okruženjima koriste i alate trećih proizvođača kako bi zakrpili programe.

Priprema instalacije – Kaspersky konzola

Kasperky konzola dolazi besplatno uz paket anti-virusa Kaspersky za 5 ili više korisnika. Pokušajmo masovno ažurirati Flash za sve naše korisnike. Najprije downloadajmo offline instalaciju Flasha s:

https://www.adobe.com/products/flashplayer/distribution3.html

Imamo dvije verzije, jednu za Internet Explorer, drugu za ostale browsere. Skinite obje.

U konzoli odemo na Remote Installation-> Installation packages.

KSC1

S desne strane sad imamo opciju Create installation package. Iskreirajmo jednu instalaciju. Izaberimo exe van Kasperky instalacija.

KSC2

Na idućemu koraku izaberimo ime našeg paketa za instalaciju.

KSC3

Zatim, izaberimo exe koji smo downloadali na u prvome koraku.

KSC4

Zadnji korak prije instalacije je definiranje switcha (ako je potrebno), za instalaciju. Ovdje ja koristim switch -install koji označava tihu instalaciju. Flash bi se trebao ažurirati a da korisnik ništa ne primjeti, niti vidi ikakav prozor.

KSC5

Uspješno smo kreirali svoj paket. Sve iste korake možemo ponoviti za instalaciju Flasha za ostale browsere.

Instalacija – Kaspersky konzola

Nakon što smo završili s paketom, on se pojavi u listi naših paketa. Idemo desni klik na njeg i instalirajmo ga.

KSC6

Izaberimo grupu računala (prvi izbor) ili računalo po imenu ili IP adresi (drugi izbor). Mi izabiramo prvu opciju.

KSC7

Izaberimo grupu računala (ili sva računala).

KSC8

Izaberimo način instaliranja (defultne postavke rade najbolje).

KSC9

I zadnji korak, unesimo ime administratora koji ima ovlasti nad računalima u našoj mreži.

KSC10

Nakon ovog koraka instalacija započinje i na sva računala u mreži se ažurira Flash.

Imamo i prikaz odrađenih instalacija na 99 računala. 94 uspješne instalacije i 5 instalacija na čekanju, jer računala u trenutku instalacije nisu bila dostupna.

KSC11

 

Ponovimo iste korake za paket Flasha za ostale browsere.

Seciranje – Nuclear Exploit Kit

Intro – Exploit Kits

Prije nego odemo u dubinu paketa naše žrtve iz primjera, trebali bi se bolje upoznati s Exploit Kitovima, tj. posebno izrađenim softverom koji koristi propuste u vašim programima kako bi dobili administratorske ovlasti nad računalom. Naši operativni sustavi (koji također imaju svoje propuste), imaju različite instalirane programe s kojima se odvijaju naši svakodnevni zadaci. Npr. pregledavamo pdf file s našim pdf čitačem ili se djeca igraju igara u flashu na Internetu, ili koristimo Javu za Internet bankarstvo.

Ova tri česta primjera svakodnevnog korištanja ovih programa su i najčešći programi na kojima svako nekoliko vremena se pronađe novi propust. Ovi propusti se krpaju redovno. Međutim, često se događa da žrtve i nisu toliko sklone ažuriranju softvera. A u nekim slučajevima, zakrpu za propust još i nije izdao vlasnik softvera. Ovi propusti (Exploits) se trguju na raznim “crnim tržištima” kako bi napadači pod svaku cijenu probali doći do vašeg računala.

Današnji Exploit Kitovi su jako automatizirani i lako dostupni. Danas se najviše koriste besplatni alati kao Metasploit koji u sebi sadrže dobar dio propusta koji se mogu koristiti.

Ostali exploit kitovi se najčešće prodaju na “crnim” tržištima, u zadnje vrijeme je dosta aktualan Angler Exploit kit, no mi ćemo pogledati kako radi njegov stariji brat, Nucelar Exploit Kit.

 

Slijetanje – Nuclear Exploit Kit

Glavni cilj napadača je dovesti žrtvu na posebnu dizajniranu stranicu na kojoj obitava na Exploit Kit. Dolazak na stanicu može biti izvršen na razne načine. Recimo,napadač vam može poslati mail u kojemu se predstavlja kao treće lice i mail sadrži link koji vodi na naš exploit kit. Također, moguće je korisnika linkati na vašu stranicu da je uopće ne posjećuje direktno u browseru, tj. da mu nije vidljivo. Takvi slučajevi (drive-by) su u zadnje vrijeme dosta česti, i najčešće su reklame uzrok usmjeravanja na druge maliciozne linkove.

Pogledajmo napad u stvarnome vremenu. Paket dostupan na analizu ovdje.

landing1

Kao što vidimo, korisnik je ne svojom voljom, pregledavajući legalnu stranicu, “preletio” i na ovaj dugi maliciozni link koji sadrži legalna stranica:

http://a3by4fh3bd5pnmit1agyu7f.***dlfincorporated.us***/index.php?l=cWJ1Y214Ynk9dndocyZ0aW1lPTE1MDcxMDEyMTczODIyNDk2Mzk3JnNyYz03NiZzdXJsPWZpbGVzdG9yZTMyMS5jb20mc3BvcnQ9ODAma2V5PUY0RUVCQjIzJnN1cmk9L2Rvd25sb2FkLnBocCUzZmlkPTExOTNiMzgz

U paketu možemo videti da se radi o čistoj HTML stranici s dodatkom – malenom malicioznom aplikacijom. U ovome slučaju, preko rupe u Flashu, napadač podiže svoje ovalsti na administratorsku razinu i downloada malu aplikaciju na naše računalo.

landing2

Ubrizgavanje -Nuclear Exploit Kit

Nakon što se aplikacija preuzme na naše računalo, najčešće u privremene dokumente, aplikacija često nije niti vidljiva niti našemu Anti-virusu, niti nama. Često aplikacija nije niti maliciozna. On služi smo za jednu stvar. Preuzimanje zloćudne aplikacije (payload) koja će nam zadati glavobolje.

Kako naš anti-virus ne reagira na skidanje zloćudne aplikacije. Skinuta aplikacija radi download malwarea na sigurno enkirptiranome portu s trećeg servera i naš anti-virus nemože skenirati taj promet. Pogledajmo unzipan promet s nekog francuskog servera prema našoj žrtvi.

payload

Nakon ovog, nema spasa žrtvi. Započinje enkripcija svih fileova korisnika, Word, Excel, slike, glazba. Sve dobiva neprobojnu enkripciju za koju napadač traži novac (ransomware).

Securing smaller networks – Osiguravanje manjih mreža

Kako osigurati malu mrežu i kolika je to zapravo mala mreža?

Odgovor na to pitanje vjerovatno se ne krije u broju korisnika ili servera, nego u potrebama svakog korisnika. Tako mreža može imati 200 korisnika i svejedno koristiti najjednostavnije rješenja, ili mreža može imati 20 korisnika i koristiti složena rješenja, no potreba korisnika će dati najbolji odgovor.

Prilikom davanja rješenja korisnicima, svakako je potreban uvid u postojeće stanje, razgovor s korisnikom te prijedlog rješenja.

Npr, ukoliko korisnik ima mogućnost 2 Internet konekcije, i želi fail-over, ili želi fail-over rutera, sigurno neće biti jednostavno rješenje. U startu bi trebalo pronaći adekvatan uređaj koji to može. Kreiranje VLANova, ili zasebnih mreža, ponovno podiže razinu kompleksnosti implementacije i predlaže druga rješenja.

Fokusirajmo se na tipično rješenje za smale tvrtke, jedna mreža u kojoj su serveri, korisnici, wireless, koja zajedno broji do 100 korisnika. Eventualno, slučaj da ima više poslovnica da je moguće sigurno povezivanje.

Ono što bi u ovome segmentu bio minium sigurnosti je firewall, IDS, IPS, URL filter te VPN.
Nastavi čitati