Re: vulnerabilità cisco pix

Il problema è che la versione che utilizzi (la 6.2(2)) ha diversi problemi 
con il traffico IPSEC. Sei probabilmente incorso in un bug software che 
manda in crisi il pix. Ho già notato questa cosa da alcuni miei clienti e 
aggiornando la versione alla release 6.3(1) le cose sono decisamente 
migliorate.

Il messaggio dei log è abbastanza esplicito visto che chi vuole stabilire 
il tunnel VPN coi tuoi pix utilizza il protocollo AH utilizzando la 
funzione di maquerading. Tale cosa è incompatibile con il protocollo AH che 
incorpora un checksum tra gli ip che stabiliscono il tunnel, rendendo il 
pacchetto incompatibile e quindi da scartarsi.

Se non utilizzi tale traffico, è bene disabilitare la feature "sysopt 
connection permit-ipsec".

Il mio consiglio è quindi quello di tenere aggiornato il più possibile la 
release del pix. Tieni presente inoltre che i pix in versione failover 
hanno diversi problemi.

Spero di esserti stato utile.

Cybersaluti

Walter


At 20.20 23/06/2003, you wrote:
> Ciao a tutti,
>
> ho ricevuto una serie di attacchi (almeno a me sembrano tali) sui miei 
> Cisco Pix
> 535 di frontiera (IOS 6.6(2)).
>
> L'effetto è stato il seguente: per qualche minuto uno dei PIX (sono in 
> failover)
> ha smesso di funzionare ma non ha fatto failover sull'altro.
>
> Controllando i log  in coincidenza dei malfunzionamenti ho trovato alcune 
> righe
> di questo tipo (esistono solo in coincidenza degli attacchi):
>
> decaps: rec'd IPSEC packet has invalid spi for destaddr=*.*.*.* prot=ah,
> spi=0x95294db5(-1253234283)
>
> Qualcuno di voi sà se esiste un attacco che sfrutta qualche vulnerabilità 
> dello
> stack ipsec del Cisco Pix?
>
> Grazie
>
> Gianluca
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List