Vulnerability Bulletins |
Enumeración de usuarios en Juniper Netscreen IPSec VPN |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de la visibilidad |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Networking |
Affected software |
NetScreen ScreenOS 2.x NetScreen ScreenOS 3.x NetScreen ScreenOS 4.x NetScreen ScreenOS 5.x <= 5.2.0 |
Description |
|
Se ha descubierto una vulnerabilidad en Juniper Netscreen VPN. La vulnerabilidad se debe a un error inherente al diseño del protocolo estándar IPSec IKE versión 1. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enumerar usuarios mediante el modo agresivo de IKE que no contesta a peticiones de usuarios no existentes pero si lo hace con los existentes. |
|
Solution |
|
El fabricante recomienda las siguientes medidas correctivas: Opción 1: Obligar al cumplimiento de prácticas seguras con respecto a la selección de los parámetros de la VPN, específicamente los siguientes: a. Nombre de usuario: No usar nombres de usuario fácilmente predecibles que puedan facilitar ataques por diccionario. Por ejemplo "ad879s8dv9sdu9a87s" es mas seguro que "jdoh". b. Clave preintercambiada: No usar contraseñas fácilmente predecibles que puedan facilitar ataques por diccionario. Por ejemplo "sd5563#3.4553skrDqw" es mas seguro que "john". c. Proxy ID: La dirección de la red destino debería ser tan especifica como sea posible. Opción 2: Usar el "Main Mode" con certificados emitidos por una autoridad de certificación (CA), en vez de usar el "Aggressive Mode" con claves preintercambiadas. Tener en cuenta que aunque este modo es más seguro requiere planificación y recursos adicionales para ser implementado. Se pueden consultar las siguientes fuentes cuando se configure túneles VPN "Main mode" basados en certificados: a. Instrucciones paso a paso: http://5xt.support.netscreen.safeharbor.com/knowbase/root/public/ns6228.htm b. Documentación adicional en: http://www.juniper.net/techpubs/software/screenos/screenos5x/ce_v5_5_0.pdf Consultar la página 16 del documento arriba mencionado. |
|
Standar resources |
|
Property | Value |
CVE | CAN-2005-2640 |
BID | |
Other resources |
|
Juniper Networks NetScreen Advisory 5212 http://www.juniper.net/support/security/alerts/adv5212.txt |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2005-09-05 |