IPSec VPN e chiavi simmetriche

2

Quando si tratta di VPN basate su IPSec, capisco che c'è un leggero "problema" con lo scambio di chiavi simmetriche. Ovviamente, non è possibile inviare le chiavi tramite VPN, poiché vengono utilizzate per garantire la riservatezza delle informazioni inviate tramite VPN. Quindi devi usare una sorta di percorso alternativo.

Ora, so che IPSec contiene un processo per questo, IKE. Ma IKE funzionerebbe all'interno di una VPN? Ho trovato un interessante articolo su questo, ma quando arriva a un punto in cui la mia domanda attuale dovrebbe essere risolta, sembra improvvisamente arretrare e lasciarmi assumendo che alcuni algoritmi comuni come DES, AES, Blowfish, RC4, ecc., vengono utilizzati e le chiavi crittografate vengono semplicemente inviate in chiaro.

Questo è l'articolo: link (sezione 2.2)

Quindi, quando si tratta di trasferire le chiavi simmetriche su una VPN che utilizza IPSec, come vengono inviate le chiavi?

    
posta SwaroopGiwali 03.11.2012 - 23:00
fonte

4 risposte

2

Se controlli la IKE pagina di Wikipedia descrive come vengono stabilite le chiavi simmetriche. IKE consiste di due fasi. La prima fase negozia l'IKE-SA che stabilisce un canale sicuro per trasmettere la chiave. La chiave viene utilizzata per crittografare ulteriori comunicazioni. La fase 2 stabilisce IPSec-SAs che contengono gli algoritmi e le chiavi ecc. Utilizzati per il traffico che deve essere protetto da IPSec. La pagina wiki afferma che IKE utilizza uno scambio di chiavi Diffie-Hellman per creare il segreto condiviso utilizzato per derivare le chiavi. Spero che questo aiuti alcuni.

    
risposta data 04.11.2012 - 04:30
fonte
1

Per la crittografia simmetrica, la chiave di solito è precondivisa e non viene trasferita sulla rete perché ciò renderebbe la connessione ancora più insicura. Inoltre, come trasferire la chiave necessaria per impostare una connessione sicura su una rete non protetta prima di aver stabilito questa connessione? È impossibile.

E il protocollo IKE viene sempre utilizzato quando si stabiliscono nuove connessioni o si mantengono vivi quelli esistenti, quindi è necessario che ci sia un malinteso al flusso di lavoro effettivo IPsec.

    
risposta data 18.01.2013 - 11:20
fonte
1

IKE è un protocollo per stabilire una chiave di sessione tra due macchine. Le macchine negoziano l'algoritmo per fare quel accordo chiave. Esistono due tipi di algoritmi:

  • Con una chiave precondivisa: le due macchine già condividono un valore segreto comune e si espandono su quello. Il modo in cui il segreto originale è stato condiviso è "fuori dal campo di applicazione". L'ultima volta che ho configurato IPsec con una chiave pre-condivisa, ho trasferito manualmente quella chiave all'interno di una sessione SSH.

  • Con la magia di crittografia asimmetrica . Questo non ha bisogno di un segreto condiviso; ma alcune chiavi di root pubbliche devono essere concordate. Con IKE, questo di solito si basa su certificati X.509 .

Poiché una VPN è un sistema per il trasferimento di pacchetti IP (all'interno di un livello di protezione), dovrebbe essere compatibile con qualsiasi cosa che gira su pacchetti IP, incluso IKE. Tuttavia, le cose di solito vengono fatte nell'ordine inverso: IPsec è una VPN; quindi, se hai già una VPN, perché ti immischerai con IPsec?

    
risposta data 18.01.2013 - 13:12
fonte
0

Credo che le chiavi effettive siano scambiate durante i messaggi 3 e 4 della fase 1. IPSEC utilizza il meccanismo di scambio diffie helman per scambiare le chiavi. Per quanto riguarda la chiave pre condivisa, viene utilizzata durante i messaggi 5 e 6 e questo è per lo stabilimento dell'identità, non per la crittografia. I dettagli dell'identità sono crittografati usando la chiave simmetrica ottenuta dopo i messaggi 3 e 4 nella fase 1

    
risposta data 18.01.2013 - 11:40
fonte

Leggi altre domande sui tag