VPNs IPSec y claves simétricas

2

Cuando se trata de VPN basadas en IPSec, entiendo que hay un pequeño "problema" con el intercambio de claves simétricas. Obviamente, no puede enviar las claves a través de la VPN, ya que se utilizan para garantizar la confidencialidad de la información que también se envía a través de la VPN. Así que tienes que usar algún tipo de ruta alternativa.

Ahora, sé que IPSec contiene un proceso para esto, IKE. Pero, ¿IKE funcionaría dentro de una VPN? Encontré un artículo interesante sobre esto, pero justo cuando llega a un punto en el que se respondería a mi pregunta actual, parece que se retiró bruscamente y me dejó suponiendo que algunos algoritmos comunes como DES, AES, Blowfish, RC4, etc. se utilizan, y las claves cifradas se envían sin cifrar.

Aquí está este artículo: enlace (sección 2.2)

Entonces, cuando se trata de la transferencia de clave simétrica en una VPN que utiliza IPSec, ¿cómo se envían las claves?

    
pregunta SwaroopGiwali 03.11.2012 - 23:00
fuente

4 respuestas

2

Si consulta la página de wiki IKE , se describe cómo se establecen las claves simétricas. IKE consta de dos fases. La fase uno negocia el IKE-SA que establece un canal seguro para transmitir la clave. La clave se utiliza para cifrar otras comunicaciones. La fase 2 establece las IPSec-SA que contienen los algoritmos y claves, etc., que se utilizan para el tráfico que debe ser protegido por IPSec. La página wiki indica que IKE utiliza un intercambio de claves Diffie-Hellman para crear el secreto compartido que se utiliza para derivar las claves. Espero que esto ayude a algunos.

    
respondido por el dudebrobro 04.11.2012 - 04:30
fuente
1

Para el cifrado simétrico, la clave generalmente es precompartida y no se transfiere a través de la red porque eso haría que la conexión sea aún más insegura. Además, ¿cómo transferir la clave necesaria para configurar una conexión segura a través de una red insegura antes de haber establecido esta conexión? Eso es imposible.

Y el protocolo IKE siempre se usa al establecer nuevas conexiones o mantener vivas las existentes, por lo que debe haber algún malentendido a su lado sobre el flujo de trabajo real de IPsec.

    
respondido por el scai 18.01.2013 - 11:20
fuente
1

IKE es un protocolo para establecer una clave de sesión entre dos máquinas. Las máquinas negocian el algoritmo para hacer ese acuerdo clave. Hay dos tipos de algoritmos para eso:

  • Con una clave precompartida: las dos máquinas ya comparten un valor secreto común y lo amplían. La forma en que se compartió ese secreto original está "fuera de alcance". La última vez que configuré IPsec con una clave previamente compartida, la había transferido manualmente dentro de una sesión SSH.

  • Con la magia de criptografía asimétrica . Este no necesita un secreto compartido; pero se deben acordar algunas claves públicas . Con IKE, esto generalmente se basa en certificados X.509 .

Dado que una VPN es un sistema para transferir paquetes IP (dentro de una capa de protección), debe ser compatible con cualquier cosa que se ejecute sobre paquetes IP, incluido IKE. Sin embargo, las cosas se suelen hacer en orden inverso: IPsec es una VPN; Entonces, si ya tienes una VPN, ¿por qué te metes con IPsec?

    
respondido por el Thomas Pornin 18.01.2013 - 13:12
fuente
0

Creo que las claves reales son intercambios durante los mensajes 3 y 4 de la fase 1. IPSEC utiliza un mecanismo de intercambio de claves helman para intercambiar las claves. En lo que respecta a la clave compartida previamente, se usa durante los mensajes 5 y 6. y eso es para el establecimiento de identidad, no para el cifrado. Los detalles de identidad se cifran utilizando la clave simétrica obtenida después de los mensajes 3 y 4 en la fase 1

    
respondido por el aRun 18.01.2013 - 11:40
fuente

Lea otras preguntas en las etiquetas