Sicherheit in Netzen - WS18/19

Übungsblatt 5 - IPsec-Angriff

 

Als Angreifer haben Sie eine IPsec-Verbindung von Bob zu einem Strongswan-Gateway in Wireshark mitgeschnitten. Hier der Wireshark-Capture: trace_ISAKMP_ESP.zip

Wenn Sie sich das Capture in Wireshark ansehen, werden Sie feststellen, dass - nach einem IPsec-Verbindungsaufbau - erstmalig im Paket 18 Nutzdaten als ESP verschlüsselt versendet werden.

Dieses Paket möchten Sie als Angreifer entschlüsseln.

Ohne weitere Informationen - nur mit dem Capture - ist eine Entschlüsselung natürlich nicht möglich. Andernfalls könnte ja jeder, der den Verkehr mitliest, diesen auch entschlüsseln. Genau das wird durch den ESP-Modus verhindert. D.h., Sie brauchen - zusätzlich zum Capture - weitere (geheime) Informationen.

Hier kommt Social Engineering ins Spiel. Sie senden dem Administrator, getarnt als Werbegeschenk, einen präparierten USB-Stick. Dies ist Ihr Ansatzpunkt, um auf dem IPsec-Gateway (Strongswan) ein Rootkit zu installieren.

Als sich Bob nochmals in das IPsec-Gateway einwählt, laden Sie sich - während die Verbindung läuft - auf dem IPsec-Gateway im Verzeichnis /var/log/syslog die Datei ip_xfrm_state.txt herunter.

Diese Datei gehört zwar zu einer anderen, neueren IPsec-Verbindung des Clients. Daher stimmen die IP-Adressen nicht mit denen des vorliegenden Captures überein. Aber immerhin, Sie sind im Besitz wichtiger Informationen aus einem IPsec Verbindungsaufbau von Bob.

 

Aufgabe 1

Das mit ESP verschlüsselte Paket Nr. 18 soll mit Wireshark entschlüsselt und analysiert werden.

  1. Welche Informationen benötigen Sie, um dieses Paket 18 in Wireshark zu entschlüsseln?
  2. Stellen Sie in einer Tabelle übersichtlich alle Informationen zusammen, die Sie zur Entschlüsselung von Paket 18 benötigen. Sammeln Sie dann die benötigten Informationen und tragen diese in die Tabelle ein.
  3. Geben Sie diese Informationen in Wireshark ein und entschlüsseln Sie Paket 18.
  4. Was ist der Inhalt von Paket 18?
  5. Warum ist die Entschlüsselung in diesem Szenario überhaupt möglich? Was sind die genauen Voraussetzungen?
  6. Mit welchen Maßnahmen ließe sich dieser Angriff verhindern? Diskutieren Sie verschiedene Maßnahmen.

Hinweise:

  • Den Speicherort für das Wireshark-Profil finden Sie über: Hilfe --> Über Wireshark --> Ordner. Im Wireshark-Profil sind die zur Entschlüsselung verwendeten Schlüssel hinterlegt. Diesen Ordner bei Bedarf sichern.
  • Die Schlüssel sind ohne Leerzeichen, aber mit dem Präfix "0x" in Wireshark einzutragen.
  • Damit ESP in Wireshark dekodiert wird, sind bei der Eingabe der Schlüssel an den richtigen Stelle durch ein Häkchen die gewünschten bzw. benötigten Funktionen einzuschalten.

 

Abgabe über LEA: Geben Sie die Lösung von Aufgabe 1, Teil b, d, e und f rechtzeitig über LEA ab.

 

Geben Sie Ihre Lösung rechtzeitig über LEA ab.

Impressum | Datenschutz | leischner.inf.h-brs.de, last modification: 10.06.2019-19.12