Le varie impostazioni di Fase 1 di una politica tunnel VPN sono abbastanza consolidate (crittografia, hashing, gruppo DH, durata), ma in quale ordine sono considerate applicabili a un tunnel più sicuro?
Sono abbastanza sicuro di sapere quali valori di ciascuna tupla sono più sicuri (correggimi se ho torto):
- crittografia: aes-256, aes-192, aes-128, 3des, des
- hashing: sha1, md5
- gruppo: 5, 2, 1
- durata: 3600, 28800, 86400
Ma quali tuple dovrei dare la priorità nelle combinazioni?
La crittografia è più "importante" dell'hash? L'hash è più importante del gruppo? Una politica aes-256 / md5 / group5 / 3600 dovrebbe essere considerata più sicura di una politica aes-256 / sha1 / group2 / 3600?
Sfondo
Sono in esecuzione un firewall Cisco ASA, con un numero di VPN site-to-site (vale a dire nei siti client). In passato, li abbiamo sempre inseriti in modo additivo / incrementale e praticamente aggiunto solo qualsiasi criterio Phase 1 / ISAKMP che il cliente desiderava alla fine dell'elenco dei criteri.
Recentemente, un cliente è tornato e ha chiesto che cambiassimo le impostazioni di Fase 1 da 3DES a AES256. Come tale, abbiamo aggiunto le nuove impostazioni di fase 1 all'elenco, ma si stabilisce ancora con le impostazioni 3DES, che non ho eliminato nel caso in cui fosse utilizzato anche da un altro client VPN (l'ASA condivide le politiche di Fase 1, prioritizza numericamente e non rendere particolarmente facile determinare quale politica viene utilizzata da quale tunnel).
Sembra che, in un tunnel ASA-ASA, il dispositivo destinatario scelga la politica da un elenco inviato dall'iniziatore, in base al proprio ordine delle politiche, non quello dell'iniziatore. Quindi sembra che dovrò riordinare le politiche.
Ora, invece di dare la priorità al client più strong, preferirei farlo in modo tale che una politica ritenuta più sicura abbia la priorità su quella più debole / legacy, il che dovrebbe significare che un tunnel ASA-ASA selezionerà automaticamente il più percorso sicuro, mentre qualsiasi dispositivo policy per tunnel dovrebbe utilizzare solo quello configurato per l'utilizzo.
Possibile soluzione
Ho letto che lo scopo della funzione di hash è che il destinatario verifichi il pacchetto decrittografato, che potrebbe prestarsi alla tupla di crittografia che è più "importante" della tupla di hash.
Ho anche letto che il Gruppo DH viene utilizzato inizialmente per fornire una sfida calcolabile contro la chiave precondivisa, quindi potrebbe essere che questo sia più "importante" dell'Hash, anche.
La durata indica chiaramente la frequenza con cui ristabilire il tunnel, ma non ha alcun ruolo reale nel tunnel stesso.
Tutto ciò mi porta a pensare che l'ordine di importanza potrebbe essere:
- crittografia
- gruppo
- Hash
- Lifetime
Questo sembra ragionevole?