Serwery dostępowe VPN

Urządzenia sieciowe stojące na straży sieci lokalnej i dopuszczające do jej zasobów tylko uprawnionych użytkowników najczęściej spełniają swoją rolę. Niestety, nawet renomowani producenci popełniają błędy, które można określić jako "podręcznikowe". Jest to znaczące ułatwienie dla włamywacza próbującego włamać się do sieci VPN i nie dysponującego kompletem informacji.

Jednym z takich błędów, znanym od ponad ćwierćwiecza, jest inny komunikat błędu w odpowiedzi na błędną kombinację loginu i hasła. Niektóre implementacje VPN zachowują się inaczej w sytuacji, gdy niepoprawny jest login (nie ma takiego użytkownika), a inaczej jeśli login jest poprawny, ale hasło - nie. W raporcie NTA Monitor nie jest napisane wprost, które implementacje protokołu IKE mają ten problem, a szkoda. Łatwo można jednak przetestować swoją implementację za pomocą opisanego w raporcie narzędzia ike-scan. Po takim eksperymencie niektórzy mogą się naprawdę zdziwić.

Kolejnym problemem - związanym ze wspomnianymi na początku artykułu niefortunnymi rozszerzeniami IPsec - jest możliwość rejestrowania treści całych sesji IKE i łamanie ich offline. Teoretycznie IKE nie powinien pozwalać na taką operację. Niestety, sesja IKE prowadzona w specjalnym trybie "agresywnym" (w odróżnieniu od standardowego, określanego jako "główny") może zostać po prostu zapisana na dysku. Klaster obliczeniowy wyposażony w odpowiednie oprogramowanie kryptoanalityczne powinien poradzić sobie ze złamaniem klucza.

W tym wypadku zagrożenie wynika z odmiennego sposobu przesyłania poufnych danych w obu trybach - w trybie "głównym" najpierw ustalana jest tożsamość klienta i serwera, następnie jest nawiązywany chroniony kanał wymiany informacji, a dopiero w nim jest dokonywane uwierzytelnienie hasłem PSK (lub kluczem RSA). W trybie "agresywny" oba te kroki są wykonywane w pierwszej - niechronionej fazie wymiany danych.

W rezultacie podsłuchujący dysponuje wynikiem funkcji skrótu (MD5 lub SHA1) z hasła PSK. Co prawda funkcja skrótu jest nieodwracalna, ale hasło można zgadnąć, biorąc ze słownika kolejnych kandydatów i obliczając ich skrót. Jeśli będzie on identyczny z tym przechwyconym - bingo! Na pojedynczym komputerze z procesorem Intel Pentium III 1,1 GHz można przeszukać w ten sposób ponad 150 tys. haseł na sekundę. Na AMD Athlon XP 2,8 GHz - już ponad dwa razy więcej.

Z testów NTA Monitor wynika, że do zgadnięcia w ten sposób hasła o długości 6 znaków i składającego się tylko z małych liter wystarczy 16 min pracy wymienionego Athlona. Jeśli dodamy do tego duże litery i cyfry - konieczne będą już dwa dni. Wydłużenie hasła o dwa dodatkowe znaki (do ośmiu znaków) powoduje, że będą to już 22 lata.

Ale nawet ośmioznakowe hasło złożone tylko z małych liter zajmie nieco ponad tydzień. Czas ten można zmniejszyć przez wykorzystanie klastra obliczeniowego złożonego z kilku do kilkuset komputerów, ale wykorzystanie naprawdę długiego hasła (kilkunastu i więcej znaków) praktycznie uniemożliwi jego złamanie. Ale tylko wtedy, gdy będzie się ono składało z małych i dużych liter oraz cyfr. Routery Cisco ograniczają na przykład długość PSK do 128 znaków.

Nawet jeśli włamywaczowi uda się zgadnąć PSK, nie zawsze oznacza to od razu dostęp do sieci - niektóre urządzenia wymagają jeszcze dodatkowego mechanizmu uwierzytelnienia XAUTH, stanowiącego rozszerzenie IKE. Wymaga on jeszcze dodatkowego uwierzytelnienia typu hasło-odzew (challenge-response). Nie oznacza to końca problemów. IKE w trybie "agresywnym" - nawet przy zastosowaniu XAUTH - jest podatny na atak typu man-in-the-middle. Chodzi tu o atak, w którym urządzenie pomiędzy stronami A i B udaje stronę A przed stroną B i stronę B przed stroną A, deszyfrując dane przeznaczone dla drugiej strony i szyfrując je ponownie przed wysłaniem.

Podsumowując, jeśli tylko szyfrator obsługuje tryb IKE "agresywny" i jest możliwość jego wyłączenia - to należy to zrobić. Niestety, nie zawsze się da - w ogłoszonej latem 2004 r. informacji Cisco potwierdziło, że ich urządzenia włączają tryb "agresywny", gdy nie jest dostępny tryb "główny" - nawet jeśli nie został on włączony w konfiguracji.

Błędy stare jak świat

Kolejnym zarzutem, jaki kieruje NTA Monitor pod adresem producentów routerów VPN, jest brak prostej funkcji, obecnej od ponad dwudziestu lat w wielu systemach operacyjnych, polegającej na blokowaniu konta przy przekroczeniu określonej liczby prób zalogowania się. Raport o tym nie wspomina, ale większość implementacji VPN nie obsługuje również - tak ważnego z punktu widzenia ochrony przed atakami słownikowymi - opóźnienia po błędnym uwierzytelnieniu. Te dwie wady umożliwiają aktywne zgadywanie przez sieć loginów i haseł za pomocą tysięcy prób logowania w krótkim czasie. Nawet jeśli opóźnienie wyniosłoby powiedzmy 60 s - atak słownikowy praktycznie traci sens.

I wreszcie, ustawienia domyślne - wiele urządzeń VPN umożliwia nadal korzystanie ze słabego według współczesnych standardów szyfru DES z kluczem o długości 40 bitów. Niektóre testowane przez nas urządzenia Cisco oferowały ten algorytm domyślnie. Podobnie ma się sprawa ze zbliżonym do ESP protokołem AH (Authentication Header), który nie zapewniał w ogóle szyfrowania, a tylko ochronę integralności danych w sieci. Powody, dla których w ogóle wprowadzono AH i osłabiony DES, zniknęły ponad 5 lat temu. Ostatni bastion ustawowych ograniczeń w stosowaniu kryptografii w Europie (tak było we Francji) padł w 1999 r. Rok później USA zliberalizowało swoje przepisy eksportowe odnośnie do kryptografii, co otworzyło przed tamtejszymi producentami rynek światowy.

Problem krótkiego klucza DES jest jednak stosunkowo mało poważny w porównaniu z innymi słabościami sieci VPN. Zamiast tracić czas na rozważania, czy bezpieczniejszy jest szyfr 3DES czy AES, lepiej zastanowić się, jaką minimalną długość hasła wymagać od użytkowników. Jak pokazuje życie - oszuści rzadko tracą czas na kryptoanalizę. Idą po najmniejszej linii oporu - wolą próbować wyłudzić lub wykraść login/hasło. Cytując słowa znanego amerykańskiego kryptologa Bruce'a Schneiera, za którym powtórzył to nawet sam Bill Gates, era zwykłych haseł powoli dobiega końca.