it-swarm.com.de

Was sind die praktischen Risiken bei der Verwendung des IKE Aggressive-Modus mit einem vorinstallierten Schlüssel?

Unser Scan-Anbieter markiert uns, weil wir IKEv1 im aggressiven Modus mit einem vorinstallierten Schlüssel verwenden. Wir verwenden den Global VPN Client von Sonicwall, um eine Verbindung zum betreffenden VPN-Gerät herzustellen.

Ich verstehe, dass dies ein Risiko ist, aber ich habe kein gutes Gefühl dafür, wie riskant es ist. Was sind hier die praktischen Risiken?

Angeblich sind längere Schlüssel sicherer. Angenommen, der Schlüssel selbst ist ausreichend zufällig, wie viele Zeichen werden als "sicher" genug angesehen?

10
poke

Wenn Sie den aggressiven Modus verwenden, wird der Authentifizierungs-Hash (Pre-Shared Key) als Antwort auf das Anfangspaket des gewünschten VPN-Clients übertragen einen IPSec-Tunnel zu errichten. Der Hash (Pre Shared Key) ist nicht verschlüsselt . Wenn ein Angreifer diese Sitzungspakete erfassen kann, kann er einen Angriff ausführen, um die PSK wiederherzustellen. Der Angriff wirkt sich nur auf den aggressiven Modus aus, da der Hauptmodus den Hash verschlüsselt. Weitere Informationen hierzu finden Sie unter Cisco Main vs. Aggressive Mode Leckerbissen. Beachten Sie, dass es Sicherheitstools gibt, die diese Angriffe vereinfachen (ikescan usw.). Siehe: http://blog.spiderlabs.com/2013/03/cracking-ike-aggressive-mode-hashes-part-1 .html

9
munkeyoto

Nur im aggressiven IKEv1-Modus kann ein passiver Angreifer „den Hash“ schnüffeln. Der einzige unbekannte Teil der Zutaten für diesen Hash ist die PSK. - Es ist immer noch ein kryptografischer Hash, daher können die Zutaten nicht als solche berechnet werden.

Das Problem ist: Ein Angreifer kann Offline-Wörterbücher und Brute-Force-Angriffe ausführen. - Wie Sie vorschlagen, hängt die Stärke wirklich von der Zufälligkeit und Länge der von Ihnen verwendeten PSK ab. Mit einer guten PSK wird es noch Jahre dauern, bis sie geknackt ist, glaube ich. Leider weiß ich nicht, wie viele Zeichen in diesem Bereich erforderlich sind.

4
Robert Siemer