Vulnerabilitățile rețelelor virtuale private (VPN) [606986]

Universitatea Politehnica din București
Facultatea de Științe Aplicate

Program masteral:
Teoria Codării și Stocării Informației

„Vulnerabilitățile rețelelor virtuale private (VPN) ”

Coordonator:
Prof.dr. Mircea Olteanu
Student: [anonimizat]
2017

Cuprins

1.VPN și date generale
2.PPTP
3.Întreruperea autentificării MS-CHAP v2
4.MPPE – confidențialitatea datelor bazată pe puterea parolei
5.Ipsec
6.Concluzii PPTP
7.Verificarea integrității
8.Modul IKE agresiv (ce l ulnerabil)
Bibliografie
2

VPN și date generale
O tehnologie de comunicații cumputerizată sigură, dar bazată pe o rețea publică este o rețea
privată virtuală, și de aceea nu foarte sigură. Tehnologia VPN este concepută tocmai pentru a crea
într-o rețea publică o subrețea de confidențialitate aproape la fel de înaltă ca într-o rețea privată
adevărată la care sunt legați numai utilizatori autorizați. Tehnologia VPN este concepută tocmai
pentru a crea într-o rețea publică o subrețea de confidențialitate aproape la fel de înaltă ca într-o
rețea privată adevărată la care sunt legați numai utilizatori autorizați. În mod intenționat această
subrețea, denumită totuși "rețea VPN", nu poate comunica cu celelalte sisteme sau utilizatori ai
rețelei publice de bază. Utilizatorii unei rețele VPN pot căpăta astfel impresia că sunt conectați la o
rețea privată dedicată, independentă, cu toate avantajele pentru securitate, rețea care în realitate este
doar virtuală, ea de fapt fiind o subrețea înglobată fizic în rețeaua de bază.
Rețelele VPN oferă multe aventaje: extinde aria geografică de conectivitate, sporește
securitatea, reduce costurile operaționale, crește productivitatea, simplifică topologia rețelei, oferă
oportunități de lucru într-o rețea globală, permite confidențialitatea datelor schimbate între punctele
de lucru aflate la distanță și altele. În plus, VPN – urile securizate sunt mai ieftine decât liniile
închiriate dedicate. Un aspect important, vital al securității datelor este faptul că datele, în cursul lor
spre destinatar, sunt protejate prin tehnologii de criptare. Un punct slab este ca rețelelor private le
lipsește securitatea datelor, permițând astfel intrarea în rețea și citirea datelor. În schimb, rețelele
private virtuale bazate pe IPsec utilizează criptarea pentru a secretiza date, crescând astfel rezistența
rețelei din punct de vedere al furtului datelor.
3

Deoarece supravegherea comunicațiilor pe Internet a devenit o problemă importantă, pe
lângă obiectivele tradiționale ale securității informațiilor, denumite de obicei ca confidențialitatea,
integritatea și autenticitatea, un alt obiectiv de securitate a devenit explicit de dorit:
Perfect Forward Secrecy (PFS). PFS poate fi atins dacă acordul inițial sesiune-cheie generează chei
unice pentru fiecare sesiune. Acest lucru asigură că, chiar dacă cheia privată ar fi descoperită,
sesiunile mai vechi nu pot fi decriptate.
PPTP
Point to point tunneling protocol , reprezintă o extensie a Point-to-Point Protocol (PPP), care
încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod
fundamental de echipamentele ISP, deoarece duce la un numitor comun participanții la sesiuni de
comunicații. Este cea mai cunoscută dintre opțiunile pentru securitatea transferului de date în
rețeaua VPN. Dezvoltat de Microsoft și inclus în Windows NT v 4.0 pentru a fi folosit cu serviciul
de rutare și acces de la distanță. Acesta permite traficului IP, IPX și NetBEUI să fie criptatși
încapsulat într-un antet IP pentru a fi transmis peste o inter-rețea IP de corporație sau publică
(Internet). PPTP suportă criptare pe 128 de biți și 40 de biți și poate folosi orice schemă de
autentificare suportată de PPP. Ca și L2F, PPTP permite tunneling-ul unor cadre PPP de la clientul
îndepărtat între un NAS și un VPN gateway/concentrator. Inițial a fost dezvoltat ca o extensie la
protocolul Point-to-Point (PPP) care permite tunelizarea pachetelor PPP printr-o rețea IP.
Standardul PPTP nu definește deloc niciun atribut de securitate. De asemenea, nu specifică
nicio modificare la PPP, ci mai degrabă definește o nouă modalitate de a le purta. Implementările
PPTP tipice ating autenticitatea și confidențialitatea datelor prin aplicarea a două protocoale
suplimentare:

•Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2): O procedură de
cerere-răspuns care oferă autenticitate reciprocă.
•Protocolul Microsoft Point-To-Point Encryption (MPPE): schema de criptare pachetelor
PPP, utilizând cifrul RC4 pentru a asigura confidențialitatea datelor.
Vulnerabilitățile PPTP care au fost cunoscute pentru o lungă perioadă de timp se află fie în
MS-CHAP v2, MPPE sau combinația ale ambelor.
4

Întreruperea autentificării MS-CHAP v2
Practic, MS-CHAP v2 este doar o procedură de cerere-răspuns, în care funcționează
autentificarea, după cum urmează: clientul și serverul partajează un secret care va fi concatenat cu
octeți aleatorii (cererea generată de server) și procesat de o funcție hash criptografică, în timp ce
output-ul funcției hash este răspunsul. Dacă ambele părți calculează același răspuns, clientul și
serverul sunt autentificate reciproc. Figura de mai jos reprezintă o prezentare generală a procesului
de autentificare completă a MS-CHAP v2.
În 1999, Bruce Schneier și Mudge au relevat unele defecte critice ale MS-CHAP v2 care nu
a fost niciodată rezolvate. Cercetarea lor nu numai că a demonstrat că securitatea autentificării
PPTP și criptarea este la fel de sigură ca și parola utilizatorului, dar și că autentificarea MS-CHAP
v2 poate fi spartă de un atac de dicționar. Deși s-ar putea crede că oamenii ar fi evitat VPN-uri
bazate pe PPTP încă de la apariția aceastei analize, PPTP este încă utilizat în scară largă.
Majoritatea operatorilor PPTP ar fi crezut că implementările lor sunt încă sigure, atâta timp cât se
aleg fraze de acces bune și complicate, crezând că atacatorii ar trebui să lanseze un atac de dicționar
asupra răspunsul procesului de autentificare. Dar cercetările recente au arătat că complexitatea
procesul de autentificare poate fi spart având minimum de informații necunoscute.
5

Figura de mai sus prezintă singura informație necunoscută a procesului de autentificare care
nu este trimis în Text clar sau care poate fi ușor derivată din ceva trimis în text clar. Acest lucru
poate fi acum spart, adus doar la o singură criptare DES, făcând acest atac mai fezabil.
Există două modalități de atenuare a impactului acestei vulnerabilități:
•Implementarea PEAP-MS-CHAP v2: Securitatea MS-CHAPv2 poate fi extinsă prin
Implementarea protocolul de autentificare extensibilă protejată (PEAP – Protected Extensible
Authentication Protocol). Acest lucru atenuează impactul major al vulnerabilităților MS-CHAPv2
prin încapsularea datelor de autentificare în TLS.
•Implementarea EAP-TLS : În loc să utilizați autentificarea implicită pentru răspunsul la
cerere-răspuns furnizat de MS-CHAP v2, PPTP poate adapta, de asemenea, EAP-TLS. EAP-
TLS aduce reciprocitate în autentificare bazată pe certificate, care impune o configurare
sigură în condiții Man-in-the-Middle, prin utilizarea caracteristicilor cheii exstinse ale X.509
pentru validarea certificatelor.
MPPE – confidențialitatea datelor bazată pe puterea parolei
MPPE criptează PPTP payloads (pachete PPP) cu o dimensiune maximă a șirului de sesiune
de 128 biți. Chiar dacă algoritmul RC4 poate avea teoretic 128 biți de entropie, parolele
utilizatorilor reali care sunt folosite pentru a obține cheile de criptare au mult mai puțin. Prin
urmare, confidențialitatea oferită de PPTP, respectiv MPPE, este la fel de bun ca și parolele
utilizate.
Există câteva modalități care pot îmbunătăți securitatea criptării MPPE în PPTP. Aceasta nu
ar trebui să fie înțeleasă ca atenuare (este încă un protocol de criptare destul de slab), ci ar trebui să
fie luată în considerare ca o implementare PPTP esențială:
6

•Politica de parole puternică: Politicile de parole stricte trebuie să fie impuse pentru a ajunge
la un nivel mai înalt de entropie. Parolele trebuie să aibă cel puțin 20 de caractere, conținând
majuscule și minuscule, numere și simboluri.
•Parole generate: generați parole puternice care respectă politicile – nu permiteți utilizatorilor
să le schimbe (pe unele mai slabe).
•EAP-TLS în loc de MS-CHAP v2: După cum este descris mai sus, EAP-TLS
implementează o autentificare reciprocă bazată pe certificate pentru PPTP. Pe lângă
avantajele general cunoscute ale certificatelor, aceasta poate oferi o entropie mai mare
pentru cheile de sesiune derivate (utilizate în MPPE).
Verificarea integrității
Verificarea integrității nu există. PPTP nu are capabilități de autentificare a textului cifrat.
Împreună cu RC4 cifrul este vulnerabil la a atacuri de tip Bit-Flipping. Deși acest lucru nu va
dezvălui niciun text sau chei, un atacator ar putea modifica mesajele prin răsturnarea biților,
rezultând ca la ieșire după decriptare, textul să fie diferit. Desigur, acest tip de atac ar putea fi
detectat sau împiedicat prin protocoale de nivel superior, de exemplu prin checksums sau eroari de
cod.
Concluzii PPTP
Problemele cu protocolul MPPE nu pot fi rezolvate, deoarece întregul protocol PPTP se
bazează pe această abordare. De asemenea, verificarea integrității nu poate fi activată, deoarece nu
este implementată. PPTP este un protocol care a fost greșit incă din proiectare, care nu mai trebuie
folosit. Prin urmare, trecerea la altul trebuie luată în considerare. Alternative precum L2TP din
IPsec, SSTP sau OpenVPN oferă moduri mai bune de îmbunătățire a securității, cum ar fi
autentificarea puternică și criptare, integritatea, verificarea și autentificarea originii datelor.
IPsec
IPsec este o suită de protocoale care este capabilă să asigure confidențialitatea, integritatea și
autenticitatea traficului. Deși, inițial, a fost dezvoltat doar pentru a proteja datele care sunt trimise
prin Internet, se poate de asemenea, securiza traficul local, de exemplu, securizarea comunicațiilor
backbone. IPsec definește prin două protocoale care pot atinge obiective de securitate diferite:
7

•IP Authentication Header (AH): este folosit pentru a furniza integritatea și autentificarea
originii pentru orice datagramă IP, fără ca aceste atribute să fie orientate pe conexiune.
Această proprietate este denumită generic "autentificare".
•Encapsulated Security Payload (ESP): ESP furnizează autentificarea și criptarea
datagramelor IP folosind algoritmul de criptare stabilit de către utilizator. În autentificarea
ESP, sumarul de mesaj este inserat la sfîrșitul pachetului (în timp ce în AH, sumarul se
află în interiorul cîmpului de autentificare). Confidențialitatea se realizează prin criptarea
volumului de date (în Modul de transport ) aau prin criptarea și încapsularea întregului
pachet IP (în Mod Tunel). ESP utilizează criptarea simetrică cu algoritmii DES, 3DES
(Triple-DES) și AES. Digest message pot fi calculate de către HMAC-MD5 sau HMAC-
SHA1.
În unele situații, fie una dintre ele poate îndeplini nevo ile de securitate, dar pentru a atinge
un VPN mai securizat ambele protocoale pot fi combinate. Acest lucru nu va asigura doar
confidențialitatea și originea datelor payload datorită utilizării ESP. AH va securiza antetul
suplimentar de date.
În timp ce protocoalele AH și ESP sunt utilizate pentru a securiza datele trimise prin fir,
IPsec adoptă un protocol suplimentar pentru managementul cheilor: Asociația de Securitate Internet
și Managementul Cheilor Protocol (ISAKMP). Partea principală utilizată de IPsec este Internet Key
Exchange (IKE), un subprotocol care este responsabil pentru autentificarea de la egal la egal.
Pentru a oferi o mai bună înțelegere a următoarelor vulnerabilitățo, ne vom concentra pe prima fază
a IKE în care sunt suportate următoarele două moduri:
•Modul principal : Modul securizat care ar trebui folosit întotdeauna.
•Mod agresiv: Un proces de autentificare scurtat, care va fi explicat în detaliu în cele ce
urmează.
Modul IKE agresiv (ce l vulnerabil)
În timp ce modul principal IKA trimite șase pachete în total pentru a finaliza procesul de
autentificare, modul agresiv reduce aceeași autentificare la doar trei pachete. Procesul de
autentificare poate fi mai simplu și mai rapid, dar, din nefericire, acest lucru introduce un defect
critic de securitate.
8

În modul Agresiv IKE, hash-ul de autentificare bazat pe o cheie prescrisă (PSK) este
transmis ca răspuns la pachetul inițial al unui client VPN care dorește să stabilească o conexiune de
tip Tunel IPSec (Hash_R). Acest hash nu este criptat. Este posibil să fie capturat aceste pachete
utilizând un sniffer, de exemplu tcpdump și rularea unui dicționar sau un atac de tip brute force
împotriva acestui hash pentru a recupera PSK.
Acest atac funcționează numai în modul agresiv IKE, deoarece în modul principal IKE acest
hash este deja criptat. Pe baza acestor fapte, modul IKE agresiv nu este foarte sigur.
Pentru a captura și a sparge PSK avem nevoie de modul IKE agresiv și trebuie să putem
capta traficul de pe fir. De asemenea, adresa IP a clientului vpn trebuie să fie acceptabilă de
gateway-ul vpn.
•În cazul în care clientul atacat încearcă să stabilească tunelul IPSec, poate fi captat traficul și
hash-ul de autentificare.
•Dacă gateway-ul vpn poate fi forțat să utilizeze modul agresiv, hashul nu este criptat. Cu
PGPNet este posibil să fie configurat clientul VPN pentru a utiliza modul agresiv. Porturile
VPN ca routerele cisco, schimbă automat la modul agresiv, dacă clientul vpn cere acest
lucru.
•Nu este nevoie ca tunelul IPSec să fie stabilit pentru a capta autentificarea hash de la
gateway în modul agresiv, deoarece hash-ul este transmis în primul pachet de răspuns al
gateway-ului vpn.
•Utilizatorul care călătorește se conectează de pretutindeni pe internet, de aceea foarte des
vpn gateway-urile sunt configurate să accepte orice adresă IP. Pe routerele cisco acest lucru
se numește dynamic crypto map.
9

Dacă combinăm aceste puncte, se poate ataca gateway-urile vpn (testate cu Cisco
Routere și Checkpoint Firewall-1 NG) care permit conexiuni VPN din orice IP adresă și care se
bazează pe cheile pre-distribuite.
Din păcate, unii furnizori au livrat dispozitive VPN cu modul agresiv configurat ca implicit.
Rularea configurațiilor implicite nesigure este un motiv comun pentru care această vulnerabilitate să
apară din ce în ce mai des.
Următoarele controale ar trebui luate în considerare pentru a atenua această vulnerabilitate:
•Dacă cheile pre-partajate sunt inevitabile, trebuie să fie aplicate fraze puternice de acces (cel
puțin 20 caractere, litere mici și mari, numere și simboluri). Această situație poate apărea
dacă:
1.Aparatul nu suportă nici un alt proces de autentificare.
2.Nu există niciun buget de rețea.
3.Nu doriți să mențineți un PKI
Nu permiteți adreselor IP dinamice în VPN-uri.
•Nu utilizați cheile pre-distribuite pentru autentificare (chiar și cu routere). Treci la ceva mai
de încredere cum ar fi cartelele inteligente, tokenuri sau autentificarea bazată pe certificate
X.509.
•Dezactivați modul agresiv dacă este posibil / acceptat.
Bibliografie
1.http://studopedia.su/7_2161_manipulyatsiya-bitami-Bit-Flipping-Attacks.html
2.https://www.evilfingers.com/publications/research_RU/VPN.pdf
3.http://stydopedia.ru/2xaf1b.html
4.http://hostinfo.ru/articles/597/
5.http://www.ey.com/Publication/vwLUAssets/2014-EY-Newsletter-Advisory-RUS/
$FILE/2014-EY-Newsletter-Advisory-RUS.pdf
10