Re: vulnerabilità cisco pix

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2003 ml@sikurezza.org
Soggetto: Re: vulnerabilità cisco pix
Mittente: Luca Berra
Data: 26 Jun 2003 11:12:35 -0000

Walter wrote:
> Il problema è che la versione che utilizzi (la 6.2(2)) ha diversi
> problemi con il traffico IPSEC. Sei probabilmente incorso in un bug
> software che manda in crisi il pix. Ho già notato questa cosa da alcuni
> miei clienti e aggiornando la versione alla release 6.3(1) le cose sono
> decisamente migliorate.

E' possibile che si tratti du un bug, ma, ricordo che sia la 6.2 che la
6.3 sono ED, quindi un upgrade a dette versioni dovrebbe essere fatto
solo se si necessita delle feature che forniscono.

> Il messaggio dei log è abbastanza esplicito visto che chi vuole
> stabilire il tunnel VPN coi tuoi pix utilizza il protocollo AH
> utilizzando la funzione di maquerading. Tale cosa è incompatibile con il
> protocollo AH che incorpora un checksum tra gli ip che stabiliscono il
> tunnel, rendendo il pacchetto incompatibile e quindi da scartarsi.

E tutte queste cose da dove le derivi?

%PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for
destaddr=IP_addr, prot=protocol, spi=spi

Explanation   Received IPSec packet specifies SPI that does not exist in
SADB. This may be a temporary condition due to slight differences in
aging of SAs between the IPSec peers, or it may be because the local SAs
have been cleared. It may also be because of incorrect packets sent by
the IPSec peer. This may also be an attack.

Action The peer may not acknowledge that the local SAs have been
cleared. If a new connection is established from the local router, the
two peers may then reestablish successfully. Otherwise, if the problem
occurs for more than a brief period, either attempt to establish a new
connection or contact the peer's administrator.

> Se non utilizzi tale traffico, è bene disabilitare la feature "sysopt
> connection permit-ipsec".
pensavo fosse disabilitata di default, cmq per chiarire questa feature
non controlla l'abilitazione o meno di ipsec, ma il fatto che a una
connessione attraverso ipsec vengano o meno applicate eventuali conduit
o access-list.

> Il mio consiglio è quindi quello di tenere aggiornato il più possibile
> la release del pix. Tieni presente inoltre che i pix in versione
dissento, if it is not broken...

> failover hanno diversi problemi.
detto cosi' sembra FUD

per gianluca invece, non mi risulta nessuna vulnerabilita' di ipsec su
pix 6.2(2), anche se l'attacker potrebbe aver usato un attacco verso un
altra piattaforma (win?)
sul problema del blocco se hai un contratto apri una chiamata in cisco,
in lista hai dato pochi dettagli sulla tua configurazione che permettano
di capirci qualcosa.

ciao
L.

-- 
Luca Berra -- bluca@xxxxxxxxxx
 /"\
 \ /     ASCII RIBBON CAMPAIGN
  X        AGAINST HTML MAIL
 / \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: vulnerabilità cisco pix, Walter

Data:
- precedente: R: FW checkpoint e Nokia, Andrea Zaupa
- successivo: Re: software autenticazione wep, Lombardo Federico
- indice

Argomento:
- precedente: Re: vulnerabilità cisco pix, Walter
- successivo: software autenticazione wep, xyphys
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005