Boletines de Vulnerabilidades |
Enumeración de usuarios en Juniper Netscreen IPSec VPN |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Networking |
Software afectado |
NetScreen ScreenOS 2.x NetScreen ScreenOS 3.x NetScreen ScreenOS 4.x NetScreen ScreenOS 5.x <= 5.2.0 |
Descripción |
|
Se ha descubierto una vulnerabilidad en Juniper Netscreen VPN. La vulnerabilidad se debe a un error inherente al diseño del protocolo estándar IPSec IKE versión 1. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enumerar usuarios mediante el modo agresivo de IKE que no contesta a peticiones de usuarios no existentes pero si lo hace con los existentes. |
|
Solución |
|
El fabricante recomienda las siguientes medidas correctivas: Opción 1: Obligar al cumplimiento de prácticas seguras con respecto a la selección de los parámetros de la VPN, específicamente los siguientes: a. Nombre de usuario: No usar nombres de usuario fácilmente predecibles que puedan facilitar ataques por diccionario. Por ejemplo "ad879s8dv9sdu9a87s" es mas seguro que "jdoh". b. Clave preintercambiada: No usar contraseñas fácilmente predecibles que puedan facilitar ataques por diccionario. Por ejemplo "sd5563#3.4553skrDqw" es mas seguro que "john". c. Proxy ID: La dirección de la red destino debería ser tan especifica como sea posible. Opción 2: Usar el "Main Mode" con certificados emitidos por una autoridad de certificación (CA), en vez de usar el "Aggressive Mode" con claves preintercambiadas. Tener en cuenta que aunque este modo es más seguro requiere planificación y recursos adicionales para ser implementado. Se pueden consultar las siguientes fuentes cuando se configure túneles VPN "Main mode" basados en certificados: a. Instrucciones paso a paso: http://5xt.support.netscreen.safeharbor.com/knowbase/root/public/ns6228.htm b. Documentación adicional en: http://www.juniper.net/techpubs/software/screenos/screenos5x/ce_v5_5_0.pdf Consultar la página 16 del documento arriba mencionado. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2005-2640 |
BID | |
Recursos adicionales |
|
Juniper Networks NetScreen Advisory 5212 http://www.juniper.net/support/security/alerts/adv5212.txt |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-09-05 |