home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / share / ike-scan / ike-vendor-ids < prev    next >
Encoding:
Text File  |  2005-12-20  |  17.7 KB  |  390 lines
  1. # The IKE Scanner (ike-scan) is Copyright (C) 2003-2005 Roy Hills,
  2. # NTA Monitor Ltd.
  3. #
  4. # This program is free software; you can redistribute it and/or
  5. # modify it under the terms of the GNU General Public License
  6. # as published by the Free Software Foundation; either version 2
  7. # of the License, or (at your option) any later version.
  9. # This program is distributed in the hope that it will be useful,
  10. # but WITHOUT ANY WARRANTY; without even the implied warranty of
  11. # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  12. # GNU General Public License for more details.
  14. # You should have received a copy of the GNU General Public License
  15. # along with this program; if not, write to the Free Software
  16. # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
  17. #
  18. # If this license is unacceptable to you, I may be willing to negotiate
  19. # alternative licenses (contact ike-scan@nta-monitor.com).
  20. #
  21. # $Id: ike-vendor-ids,v 1.33 2005/10/26 10:47:54 rsh Exp $
  22. #
  23. # ike-vendor-ids -- File containing known Vendor IDs for ike-scan
  24. #
  25. # Author: Roy Hills <Roy.Hills@nta-monitor.com>
  26. #
  27. # Format:
  28. # Implementation_Name<Tab>Vendor_ID_Pattern
  29. #
  30. # The Vendor_ID_Pattern should be specified as a Posix extended regular
  31. # expression that will match the hex value of the Vendor ID.  The Posix regular
  32. # expression routines "regcomp" and "regexec" are used to compile and
  33. # match the patterns.
  34. #
  35. # The hex value of the Vendor ID can only contain the characters [0-9a-f].
  36. # The regular expression match is case insensitive so you can use either
  37. # upper or lower case letters [A-F] in the pattern, although I recommend that
  38. # you use only lower-case for consistency.
  39. #
  40. # The pattern is not anchored by default.  If you want to match from the
  41. # beginning of the vendor ID hex value (which is normally the case), you
  42. # should start your pattern with "^" to anchor it at the beginning of the hex
  43. # value.  If you don't want to allow any extra trailing data, you should end
  44. # the pattern with "$" to anchor it at the end of the hex value.
  45. #
  46. # Each entry must be on one line.  A line can be up to 254 characters long.
  47. # To allow for longer lines, adjust the MAXLINE macro in ike-scan.h
  48. #
  49. # Lines beginning with '#' and blank lines are ignored.
  50. #
  51. # The input format is quite strict.  In particular, the separator between
  52. # the implementation name and the VendorID pattern must be a single TAB and
  53. # not a space.
  54. #
  55. # If you have problems adding entries, run ike-scan as:
  56. # ike-scan -v -v -v <any-target>
  57. # Which will dump the VendorID pattern table.
  58. #
  59. # You are encouraged to send comments, improvements or suggestions to
  60. # me at ike-scan@nta-monitor.com.
  61. #
  62.  
  63. # Microsoft/Cisco IPsec implementation for Win-2000 and above.
  64. # The first 16 bytes are the MD5 hash of "MS NT5 ISAKMPOAKLEY"
  65. # I've seen extra data following the XP-SP1 and 2003 patterns, but I'm not sure
  66. # what this represents.
  67. Windows-2000    ^1e2b516905991c7d7c96fcbfb587e46100000002
  68. Windows-XP-SP1    ^1e2b516905991c7d7c96fcbfb587e46100000003
  69. Windows-2003-or-XP-SP2    ^1e2b516905991c7d7c96fcbfb587e46100000004
  70.  
  71. # Checkpoint Firewall-1/VPN-1
  72. #
  73. # Firewall-1 v4.0 didn't use Vendor IDs.  v3.0 and below didn't support IPsec.
  74. #
  75. # This is a 40-byte Vendor ID, which consists of the following fields:
  76. #
  77. # Bytes        Description
  78. #  1-20        Checkpoint VID (Probably an SHA1 hash of something)
  79. # 21-24        Product (1=Firewall-1, 2=SecuRemote/SecureClient)
  80. # 25-28        Encoded Version number
  81. # 29-32        Timestamp (NGX only; always zero in 4.1 or NG)
  82. # 33-36        Reserved
  83. # 37-40        Features
  84. #
  85. # The Checkpoint VID is "f4ed19e0c114eb516faaac0ee37daf2807b4381f".  This
  86. # looks like an SHA1 hash.
  87. #
  88. # The Product is either 1 (0x00000001) for Firewall-1/VPN-1 or 2 (0x00000002)
  89. # for SecuRemote/SecureClient (Checkpoint's VPN client).
  90. #
  91. # The encoded version number is described in the URL below.
  92. #
  93. # The timestamp field contains the Firewall's date and time encoded as seconds
  94. # since 1st Jan 1970 (standard Unix epoch).  Only NGX fills this in; it is
  95. # always zero on 4.1 and NG.
  96. #
  97. # The first byte of the features field contains the number of bits used.  This
  98. # is normally 0x18 (24).  The remaining three bytes (24 bits) are feature
  99. # flags.
  100. #
  101. # Firewall-1 4.1 and NG only returns a Vendor ID if you send a Vendor ID
  102. # payload starting with the Checkpoint VID. Firewall-1 NGX always returns
  103. # a Vendor ID, regardless of whether the client sends the Checkpoint VID
  104. # or not.
  105. #
  106. # See http://www.nta-monitor.com/news/checkpoint2004/index.htm for full details
  107. #
  108. Firewall-1 4.1 Base    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f00000001000000020000000000000000........
  109. Firewall-1 4.1 SP1    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f00000001000000030000000000000000........
  110. Firewall-1 4.1 SP2-SP6    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f0000000100000fa20000000000000000........
  111. Firewall-1 NG Base    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f00000001000013880000000000000000........
  112. Firewall-1 NG FP1    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f00000001000013890000000000000000........
  113. Firewall-1 NG FP2    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138a0000000000000000........
  114. Firewall-1 NG FP3    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138b0000000000000000........
  115. Firewall-1 NG AI R54    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138c0000000000000000........
  116. Firewall-1 NG AI R55    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d0000000000000000........
  117. Firewall-1 NGX    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f000000010000138d........00000000........
  118. Firewall-1 Unknown Vsn    ^f4ed19e0c114eb516faaac0ee37daf2807b4381f
  119.  
  120. # Dead Peer Detection (DPD), detailed in RFC 3706.
  121. # Last 2 bytes (4 hex chars) are major & minor version.
  122. # Current version is 1.0.
  123. # Thanks to Hakan Olsson for clarifing this.
  124. Dead Peer Detection    ^afcad71368a1f1c96b8696fc7757....
  125.  
  126. # XAUTH
  127. # This is a truncated MD5 hash of "draft-ietf-ipsra-isakmp-xauth-06.txt"
  128. # Why "ipsra" and not "ipsec" as in the draft name I wonder?
  129. XAUTH    ^09002689dfd6b712
  130.  
  131. # SSH Communications Security IPSEC Express
  132. # These VIDs are MD5 hashes of the text
  133. # "SSH Communications Security IPSEC Express version x.y.z" or
  134. # "Ssh Communications Security IPSEC Express version x.y.z"
  135. # Where x.y.z is the version, e.g. 1.1.0
  136. SSH IPSEC Express 1.1.0    ^fbf47614984031fa8e3bb6198089b223
  137. SSH IPSEC Express 1.1.1    ^1952dc91ac20f646fb01cf42a33aee30
  138. SSH IPSEC Express 1.1.2    ^e8bffa643e5c8f2cd10fda7370b6ebe5
  139. SSH IPSEC Express 1.2.1    ^c1111b2dee8cbc3d620573ec57aab9cb
  140. SSH IPSEC Express 1.2.2    ^09ec27bfbc09c75823cfecbffe565a2e
  141. SSH IPSEC Express 2.0.0    ^7f21a596e4e318f0b2f4944c2384cb84
  142. SSH IPSEC Express 2.1.0    ^2836d1fd2807bc9e5ae30786320451ec
  143. SSH IPSEC Express 2.1.1    ^a68de756a9c5229bae66498040951ad5
  144. SSH IPSEC Express 2.1.2    ^3f2372867e237c1cd8250a75559cae20
  145. SSH IPSEC Express 3.0.0    ^0e58d5774df602007d0b02443660f7eb
  146. SSH IPSEC Express 3.0.1    ^f5ce31ebc210f44350cf71265b57380f
  147. SSH IPSEC Express 4.0.0    ^f64260af2e2742daddd56987068a99a0
  148. SSH IPSEC Express 4.0.1    ^7a54d3bdb3b1e6d923892064be2d981c
  149. SSH IPSEC Express 4.1.0    ^9aa1f3b43472a45d5f506aeb260cf214
  150. SSH IPSEC Express 4.1.1    ^89f7b760d86b012acf263382394d962f
  151. SSH IPSEC Express 4.2.0    ^6880c7d026099114e486c55430e7abee
  152. SSH IPSEC Express 5.0    ^b037a21aceccb5570f602546f97bde8c
  153. SSH IPSEC Express 5.0.0    ^2b2dad97c4d140930053287f996850b0
  154. SSH IPSEC Express 5.1.0    ^45e17f3abe93944cb202910c59ef806b
  155. SSH IPSEC Express 5.1.1    ^5925859f7377ed7816d2fb81c01fa551
  156.  
  157. # Cisco Unity compliant peer. VID is the MD5 hash of "CISCO-UNITY" with
  158. # the last two bytes replaced with 0x0100
  159. Cisco Unity    ^12f5f28c457168a9702d9fe274cc0100
  160.  
  161. # I've seen this pattern with trailing 500306 and 500400.  I suspect that
  162. # the last two bytes indicate the version number, e.g 0306 = 3.0.6.  However,
  163. # I need more examples before I'm confident that this is the case, so for
  164. # now I'm just including the generic pattern.
  165. Cisco VPN Concentrator    ^1f07f70eaa6514d3b0fa96542a
  166.  
  167. # IKE Fragmentation.  VID is the MD5 hash of the text "FRAGMENTATION"
  168. # I've seen extra bytes on the end of a fragmentation VID payload, e.g.
  169. # c0000000.  I don't know what these represent.
  170. IKE Fragmentation    ^4048b7d56ebce88525e7de7f00d6c2d3
  171.  
  172. # Various IKE Internet drafts.  The VID payload is the MD5 hash of the
  173. # implementation name given below.
  174. draft-stenberg-ipsec-nat-traversal-01    ^27bab5dc01ea0760ea4e3190ac27c0d0
  175. draft-stenberg-ipsec-nat-traversal-02    ^6105c422e76847e43f9684801292aecd
  176. draft-huttunen-ipsec-esp-in-udp-00.txt    ^6a7434c19d7e36348090a02334c9c805
  177.  
  178. # Extra data has been observed at the end of this VID payload.
  179. SafeNet SoftRemote    ^47bbe7c993f1fc13b4e6d0db565c68e5
  180.  
  181. # HeartBeat Notify.
  182. # VID is ASCII "HeartBeat_Notify"
  183. # Extra data has been observed at the end of this VID payload.  It is
  184. # suspected that this may be a version number.  E.g:
  185. # 4865617274426561745f4e6f74696679386b0100
  186. Heartbeat Notify    ^4865617274426561745f4e6f74696679
  187.  
  188. OpenPGP    ^4f70656e5047503130313731
  189.  
  190. # draft-huttunen-ipsec-esp-in-udp-01.txt
  191. # VID is an MD5 hash of "ESPThruNAT"
  192. ESPThruNAT    ^50760f624c63e5c53eea386c685ca083
  193.  
  194. # SSH Sentinel.
  195. # These VIDs are MD5 hashes of the implementation names given below.
  196. SSH Sentinel    ^054182a07c7ae206f9d2cf9d2432c482
  197. SSH Sentinel 1.1    ^b91623e693ca18a54c6a2778552305e8
  198. SSH Sentinel 1.2    ^5430888de01a31a6fa8f60224e449958
  199. SSH Sentinel 1.3    ^7ee5cb85f71ce259c94a5c731ee4e752
  200. SSH Sentinel 1.4    ^63d9a1a7009491b5a0a6fdeb2a8284f0
  201. SSH Sentinel 1.4.1    ^eb4b0d96276b4e220ad16221a7b2a5e6
  202.  
  203. # Timestep VID is ASCII "TIMESTEP" (54494d4553544550) followed by further
  204. # ASCII characters which seem to indicate a version number.  e.g:
  205. # 54494d455354455020312053475720313532302033313520322e303145303133
  206. # which is "TIMESTEP 1 SGW 1520 315 2.01E013"
  207. Timestep    ^54494d4553544550
  208.  
  209. # VID is MD5 hash of "KAME/racoon"
  210. KAME/racoon    ^7003cbc1097dbe9c2600ba6983bc8b35
  211.  
  212. # Negotiation of NAT-Traversal in the IKE - previously IETF draft, now RFC.
  213. # The VID is the MD5 hash of the implementation name given below.
  214. # The trailing newline (\n) on one entry is explained in
  215. # http://www.sandelman.ottawa.on.ca/ipsec/2002/04/msg00233.html
  216. # Jan 2005: RFC released as RFC 3947 "Negotiation of NAT-Traversal in the IKE"
  217. # VID is MD5 hash of "RFC 3947"
  218. draft-ietf-ipsec-nat-t-ike    ^4df37928e9fc4fd1b3262170d515c662
  219. draft-ietf-ipsec-nat-t-ike-00    ^4485152d18b6bbcd0be8a8469579ddcc
  220. draft-ietf-ipsec-nat-t-ike-01    ^16f6ca16e4a4066d83821a0f0aeaa862
  221. draft-ietf-ipsec-nat-t-ike-02\n    ^90cb80913ebb696e086381b5ec427b1f
  222. draft-ietf-ipsec-nat-t-ike-02    ^cd60464335df21f87cfdb2fc68b6a448
  223. draft-ietf-ipsec-nat-t-ike-03    ^7d9419a65310ca6f2c179d9215529d56
  224. draft-ietf-ipsec-nat-t-ike-04    ^9909b64eed937c6573de52ace952fa6b
  225. draft-ietf-ipsec-nat-t-ike-05    ^80d0bb3def54565ee84645d4c85ce3ee
  226. draft-ietf-ipsec-nat-t-ike-06    ^4d1e0e136deafa34c4f3ea9f02ec7285
  227. draft-ietf-ipsec-nat-t-ike-07    ^439b59f8ba676c4c7737ae22eab8f582
  228. draft-ietf-ipsec-nat-t-ike-08    ^8f8d83826d246b6fc7a8a6a428c11de8
  229. draft-ietf-ipsec-nat-t-ike-09    ^42ea5b6f898d9773a575df26e7dd19e1
  230. Testing NAT-T RFC    ^c40fee00d5d39ddb1fc762e09b7cfea7
  231. RFC 3947 NAT-T    ^4a131c81070358455c5728f20e95452f
  232.  
  233. # A GSS-API Authentication Method for IKE - draft-ietf-ipsec-isakmp-gss-auth
  234. # This is used by Windows 2000 and later.  Specific Windows VIDs are in a
  235. # separate section.
  236. # Note that the MD5 hash for "A GSS-API ..." in draft version 07 is given as
  237. # the hash of the string with a newline appended.  I think that this is an
  238. # error, so I've added patterns both with and without the trailing newline.
  239. MS NT5 ISAKMPOAKLEY    ^1e2b516905991c7d7c96fcbfb587e461
  240. A GSS-API Authentication Method for IKE    ^ad2c0dd0b9c32083ccba25b8861ec455
  241. A GSS-API Authentication Method for IKE\n    ^b46d8914f3aaa3f2fedeb7c7db2943ca
  242. GSSAPI    ^621b04bb09882ac1e15935fefa24aeee
  243.  
  244. # Nortel Contivity VPN Router (was Bay Networks Enterprise Switch)
  245. # The first 4 bytes are ASCII "BNES" (Bay Networks Enterprise Switch)
  246. # The second 4 bytes appear to be a version number in big endian format.
  247. # I've seen values 00000004, 00000005, 00000007, 00000009 and 0000000a in
  248. # this position.
  249. Nortel Contivity    ^424e4553000000..
  250.  
  251. # Observed to be sent from SonicWall Firewalls
  252. SonicWall    ^404bf439522ca3f6
  253.  
  254. # SSH QuickSec
  255. # The VIDs are the MD5 hashes of "SSH Communications Security QuickSec x.y.z"
  256. # Where x.y.z is the version number
  257. SSH QuickSec 0.9.0    ^37eba0c4136184e7daf8562a77060b4a
  258. SSH QuickSec 1.1.0    ^5d72925e55948a9661a7fc48fdec7ff9
  259. SSH QuickSec 1.1.1    ^777fbf4c5af6d1cdd4b895a05bf82594
  260. SSH QuickSec 1.1.2    ^2cdf08e712ede8a5978761267cd19b91
  261. SSH QuickSec 1.1.3    ^59e454a8c2cf02a34959121f1890bc87
  262.  
  263. # VIDs are MD5 hash of:
  264. # "IKE Challenge/Response for Authenticated Cryptographic Keys"
  265. # "IKE Challenge/Response for Authenticated Cryptographic Keys (Revised)"
  266. # both without and with trailing newline.
  267. IKE Challenge-Response    ^ba290499c24e84e53a1d83a05e5f00c9
  268. IKE Challenge-Response-2    ^0d33611a5d521b5e3c9c03d2fc107e12
  269. IKE Challenge-Response Revised    ^ad3251042cdc4652c9e0734ce5de4c7d
  270. IKE Challenge-Response Revised-2    ^13f11823f966fa91900f024ba66a86ba
  271.  
  272. # draft-krywaniuk-ipsec-antireplay-00.txt - Using Isakmp Message Ids for
  273. # Replay Protection
  274. #
  275. #  "They may also be enabled in the short term by mutual exchange of the
  276. #   vendor id 0x325df29a2319f2dd"
  277. draft-krywaniuk-ipsec-antireplay-00    ^325df29a2319f2dd
  278.  
  279. # draft-ietf-ipsec-heartbeats-00.txt - Using Isakmp Heartbeats for Dead Peer
  280. # Detection
  281. # The draft says that the VID is a truncated MD5 hash of
  282. # "draft-ietf-krywaniuk-ipsec-heartbeats-00.txt"
  283. # but it is not.
  284. draft-ietf-ipsec-heartbeats-00    ^8db7a41811221660
  285.  
  286. # MacOS X
  287. # Unconfirmed, from StrongSwan vendor.c
  288. MacOS 10.x    ^4d6163204f53582031302e78
  289.  
  290. # StrongSwan
  291. # VID is MD5 hash of "strongSwan x.y.z" where x.y.z is version number
  292. # Obtained from StrongSwan vendor.c
  293. StrongSwan 2.2.0    ^86f9f547c5d3ba6720dce9ccd17ac0c2
  294. StrongSwan 2.2.1    ^8dfbb1ebec630f0efe557a7f3e13cd36
  295. StrongSwan 2.2.2    ^8a6903daeb705b35d2eac3fb1a62551c
  296. StrongSwan 2.3.0    ^bb14bc5527a2a8289eeb25149d5f661b
  297. StrongSwan 2.3.1    ^6b75fd64516a6cb6441fedd0c6b4e2b1
  298. StrongSwan 2.3.2    ^56546e1ff761fcb1cc7fb0f1fee978ea
  299. StrongSwan 2.4.0    ^20f0af7152332de372e9394138e0253a
  300. StrongSwan 2.4.1    ^486b3d5c7365a47a10df811660e5894e
  301.  
  302. # ZyXEL ZyWALL router
  303. # Observed on several devices.  HTTP interface shows that they are XyWALL
  304. # I suspect that this VID is an SHA-1 hash of something because of the length
  305. XyXEL ZyWALL Router    ^b858d1addd08c1e8adafea150608aa4497aa6cc8
  306.  
  307. # Microsoft Initial Contact
  308. # VID is MD5 hash of "Vid-Initial-Contact"
  309. Microsoft Initial-Contact    ^26244d38eddb61b3172a36e3d0cfb819
  310.  
  311. # FreeS/WAN and Openswan
  312. # VID is a 12-byte printable string.  The first two bytes are "OE", which
  313. # stands for "Opportunistic Encryption" (the FreeS/WAN designers were
  314. # enthusiastic about opportunistic encryption); the remaining ten bytes are
  315. # a truncated, "ASCIIfied" MD5 hash of the implementation name given below.
  316. # The "ASCIIfication" process involves clearing bit 7 and setting bit 6 in
  317. # each byte, thus constraining the range to 64-127 inclusive.
  318. # I think that support for this VID was added in FreeS/WAN 2.00, and carried
  319. # over into openswan 2.x.
  320. Linux FreeS/WAN 2.00    ^4f45486b7d44784d42676b5d
  321. Linux FreeS/WAN 2.01    ^4f457c4f547e6e615b426e56
  322. Linux FreeS/WAN 2.02    ^4f456c6b44696d7f6b4c4e60
  323. Linux FreeS/WAN 2.03    ^4f45566671474962734e6264
  324. Linux FreeS/WAN 2.04    ^4f45704f736579505c6e5f6d
  325. Linux FreeS/WAN 2.05    ^4f457271785f4c7e496f4d54
  326. Linux FreeS/WAN 2.06    ^4f457e4c466e5d427c5c6b52
  327. Openswan 2.2.0    ^4f4548724b6e5e68557c604f
  328. Openswan 2.3.0    ^4f4572696f5c77557f746249
  329.  
  330. # OpenPGP
  331. # VID starts with ASCII "OpenPGP".  This is generally followed by some extra
  332. # data, e.g. "OpenPGP10171", but we don't match that.
  333. OpenPGP    ^4f70656e504750
  334.  
  335. # Observed on Fortinet ForteGate Firewalls.
  336. # Probably an MD5 hash of something.
  337. FortiGate    ^1d6e178f6c2c0be284985465450fe9d4
  338.  
  339. # Juniper NetScreen
  340. # There are many different entries for this implementation.
  341. # The first 20 bytes are suspected to be an SHA1 hash of something
  342. # It is followed by eight bytes, which we don't include in the pattern.
  343. # This eight bytes consists of two four-byte values in big endian format,
  344. # e.g. 0000000900000500, which may indicate the ScreenOS version.
  345. Netscreen-01    ^299ee8289f40a8973bc78687e2e7226b532c3b76
  346. Netscreen-02    ^3a15e1f3cf2a63582e3ac82d1c64cbe3b6d779e7
  347. Netscreen-03    ^47d2b126bfcd83489760e2cf8c5d4d5a03497c15
  348. Netscreen-04    ^4a4340b543e02b84c88a8b96a8af9ebe77d9accc
  349. Netscreen-05    ^64405f46f03b7660a23be116a1975058e69e8387
  350. Netscreen-06    ^699369228741c6d4ca094c93e242c9de19e7b7c6
  351. Netscreen-07    ^8c0dc6cf62a0ef1b5c6eabd1b67ba69866adf16a
  352. Netscreen-08    ^92d27a9ecb31d99246986d3453d0c3d57a222a61
  353. Netscreen-09    ^9b096d9ac3275a7d6fe8b91c583111b09efed1a0
  354. Netscreen-10    ^bf03746108d746c904f1f3547de24f78479fed12
  355. Netscreen-11    ^c2e80500f4cc5fbf5daaeed3bb59abaeee56c652
  356. Netscreen-12    ^c8660a62b03b1b6130bf781608d32a6a8d0fb89f
  357. Netscreen-13    ^f885da40b1e7a9abd17655ec5bbec0f21f0ed52e
  358.  
  359. # Avaya
  360. # Observed on Avaya VSU 100R
  361. # Not sure if this is common to all Avaya equipment
  362. avaya    ^4485152d18b6bbcc0be8a8469579ddcc
  363.  
  364. # Stonegate
  365. # Observed on Stonesoft StoneGate v2.2.1
  366. StoneGate-01    ^c573b056d7faca36c2fba28374127cbf
  367. StoneGate-02    ^baeb239037e17787d730eed9d95d48aa
  368.  
  369. # Other things I've seen but not fully classified yet.
  370. # If anyone can confirm any of these, please let me know.
  371. Maybe Cisco IOS    ^bdb41038a7ec5e5534dd004d0f91f927
  372. # Unknown 1 was classified as Cisco VPN Concentrator
  373. # Unknown 2 was classified as Windows-2000
  374. Unknown 3    ^edea53a3c15d45cafb11e59ea68db2aa99c1470e0000000400000303
  375. Unknown 4    ^bedc86dabf0ab7973870b5e6c4b87d3ee824de310000001000000401
  376. Unknown 5    ^ac5078c25cabb9523979978e76a3d0d2426bc9260000000400000401
  377. # Unknown 6 was classified as SSH IPSEC Express 4.1.0
  378. Unknown 7    ^69b761a173cc1471dc4547d2a5e94812
  379. Unknown 8    ^4c5647362e303a627269636b3a362e302e353732
  380. Unknown 9    ^3499691eb82f9eaefed378f5503671debd0663b4000000040000023c
  381. # I've seen Unknown 10 sent from SonicWall Global VPN Client
  382. Unknown 10    ^975b7816f69789600dda89040576e0db
  383. # The "Safenet or Watchguard" Vendor ID has also been seen sent from SonicWall
  384. # Global VPN client.  It is normally followed by 80010000, which looks like a
  385. # version number.
  386. Safenet or Watchguard    ^da8e9378
  387. Unknown-cisco    ^e23ae9f51a46876ff93d89ba725d649d
  388. Maybe Sidewinder G2    ^8404adf9cda05760b2ca292e4bff537b
  389. Maybe Sidewinder G2    ^e720cdd49d2ee7b83ce1970a6c69b528
  390.