Client Scambio chiave IPSEC VPN vs Scambio chiavi IPSEC VPN sito-sito

1

Dato un sito al sito IPSEC VPN la maggior parte dei firewall consente di selezionare il gruppo DH che il tunnel sito-sito utilizzerà per eseguire lo scambio di chiavi prima di crittografare il traffico.

Ho notato che in genere con il client IPSEC VPN hai solo la possibilità di inserire una chiave pre condivisa.

I client IPSEC VPN non utilizzano i gruppi DH? Utilizzano solo la chiave pre condivisa (e poiché la chiave è già condivisa, non è necessario eseguire uno scambio di chiavi)? Conoscete eventuali venditori che realizzano un prodotto che consente l'utilizzo di gruppi DH con VPN IPSEC client in modo che lo scambio di chiavi sia dinamico e non pre-condiviso?

Non ho un caso d'uso che richiede questo, voglio solo assicurarmi di capire perché l'ASA di Cisco ti permette di selezionare un gruppo DH per VPN IPSEC site to site ma non per VPN IPSEC client.

    
posta user5870571 29.08.2016 - 14:55
fonte

3 risposte

1

Non è necessario uno scambio di chiavi, che in genere si applica ai protocolli SSL / TLS (e simili). Le VPN usano spesso chiavi già condivise. A volte (OpenVPN) è possibile definire un file di chiavi DH ma solo per lo scambio di chiavi temporaneo che avviene dopo la connessione è stabilita, ciò consente inoltra la segretezza .

Aggiorna

Ci sono VPN che fanno uno scambio di chiavi, IIRC sia Cisco che Dell supportano questo nei loro prodotti Enterprise VPN.

    
risposta data 29.08.2016 - 15:06
fonte
1

Il protocollo IKE utilizzato per creare associazioni di sicurezza IPsec (SA) richiede sempre uno scambio DH per creare materiale di codifica dinamico. La chiave precondivisa viene utilizzata per autenticare i peer (per IKEv1 viene anche aggiunto al materiale della chiave IKE). Per IKEv1 tutte le SA IPsec possono facoltativamente utilizzare uno scambio DH separato per creare nuovo materiale chiave (invece di derivarlo dal materiale chiave IKE), per IKEv2 questo è possibile per tutte le SA IPsec tranne il primo creato con lo scambio IKE iniziale.

Se i gruppi DH sono configurati in modo esplicito o il server accetta solo ciò che il cliente propone (se accettabile per la sua politica locale) è una questione diversa. Suppongo che potrebbe semplificare la configurazione se il server non limita la configurazione a un singolo gruppo in scenari roadwarrior, in cui potrebbero esserci diversi client di diversi fornitori che utilizzano gruppi DH diversi per impostazione predefinita.

    
risposta data 29.08.2016 - 15:16
fonte
0

Per rispondere all'ultima parte della mia domanda sul motivo per cui la selezione di un gruppo DH non è disponibile in Cisco ASA ASDM per una configurazione del tunnel IPSEC VPN del client (perché il Cisco ASA consente di selezionare un gruppo DH per IPSEC VPN site to site ma non per le VPN IPSEC client), c'è una discussione a riguardo sui forum di Cisco dove si sottolinea che l'ASA (versione 8.3 con VPN Client 5) utilizza il gruppo DH 2 a meno che la configurazione non stia usando l'autenticazione del certificato se lo fa allora il DH gruppo usato in 5.

link

    
risposta data 29.08.2016 - 15:42
fonte

Leggi altre domande sui tag