Als Angreifer haben Sie eine IPsec-Verbindung von Bob zu einem Strongswan-Gateway in Wireshark mitgeschnitten. Hier der Wireshark-Capture: trace_ISAKMP_ESP.zip
Wenn Sie sich das Capture in Wireshark ansehen, werden Sie feststellen, dass - nach einem IPsec-Verbindungsaufbau - erstmalig im Paket 18 Nutzdaten als ESP verschlüsselt versendet werden.
Dieses Paket möchten Sie als Angreifer entschlüsseln.
Ohne weitere Informationen - nur mit dem Capture - ist eine Entschlüsselung natürlich nicht möglich. Andernfalls könnte ja jeder, der den Verkehr mitliest, diesen auch entschlüsseln. Genau das wird durch den ESP-Modus verhindert. D.h., Sie brauchen - zusätzlich zum Capture - weitere (geheime) Informationen.
Hier kommt Social Engineering ins Spiel. Sie senden dem Administrator, getarnt als Werbegeschenk, einen präparierten USB-Stick. Dies ist Ihr Ansatzpunkt, um auf dem IPsec-Gateway (Strongswan) ein Rootkit zu installieren.
Als sich Bob nochmals in das IPsec-Gateway einwählt, laden Sie sich - während die Verbindung läuft
- auf dem IPsec-Gateway im Verzeichnis /var/log/syslog
die Datei ip_xfrm_state.txt
herunter.
Diese Datei gehört zwar zu einer anderen, neueren IPsec-Verbindung des Clients. Daher stimmen die IP-Adressen nicht mit denen des vorliegenden Captures überein. Aber immerhin, Sie sind im Besitz wichtiger Informationen aus einem IPsec Verbindungsaufbau von Bob.
Das mit ESP verschlüsselte Paket Nr. 18 soll mit Wireshark entschlüsselt und analysiert werden.
Hinweise:
Abgabe über LEA: Geben Sie die Lösung von Aufgabe 1, Teil b, d, e und f rechtzeitig über LEA ab.
Geben Sie Ihre Lösung rechtzeitig über LEA ab.