Intercambio de claves VPN IPSEC del cliente vs. Intercambio de claves VPN IPSEC sitio a sitio

1

Dado un sitio a sitio IPSEC VPN, la mayoría de los firewalls permiten la selección de qué grupo de DH usará el túnel del sitio al sitio para realizar el intercambio de claves antes de cifrar el tráfico.

Me he dado cuenta de que con las VPN IPSEC del cliente normalmente solo tienes la opción de ingresar una clave compartida previamente.

¿Las VPN IPSEC del cliente no usan grupos DH? ¿Utilizan solo la clave precompartida (y como la clave se comparte previamente no es necesario realizar un intercambio de clave)? ¿Conoce algún proveedor que fabrique un producto que permita que los grupos de DH se utilicen con las VPN IPSEC del cliente, por lo que el intercambio de claves es dinámico y no se comparte previamente?

No tengo un caso de uso que requiera esto, solo quiero asegurarme de entender por qué Cisco ASA le permite seleccionar un grupo DH para VPN IPSEC de sitio a sitio, pero no para VPN IPSEC de cliente.

    
pregunta user5870571 29.08.2016 - 14:55
fuente

3 respuestas

1

No hay necesidad de un intercambio de claves, que normalmente se aplica a los protocolos SSL / TLS (y demás). Las VPN a menudo usan claves previamente compartidas. A veces (OpenVPN) puede definir un archivo de claves DH pero solo para el intercambio de claves efímero que tiene lugar después de se establece la conexión, esto habilita confidencialidad .

Actualizar

Hay VPN que hacen un intercambio de claves, IIRC, tanto Cisco como Dell lo admiten en sus productos Enterprise VPN.

    
respondido por el Yorick de Wid 29.08.2016 - 15:06
fuente
1

El protocolo IKE utilizado para crear asociaciones de seguridad IPsec (SA) siempre requiere un intercambio DH para crear material de codificación dinámica. La clave precompartida se usa para autenticar a los pares (para IKEv1 también se agrega al material de la clave IKE). Para IKEv1, todas las SA de IPsec pueden usar opcionalmente un intercambio DH separado para crear un nuevo material clave (en lugar de derivarlo del material de la clave IKE), para IKEv2 esto es posible para todas las SA IPsec, excepto la primera que se creó con el intercambio inicial de IKE.

Si los grupos DH están configurados explícitamente o si el servidor solo acepta lo que el cliente proponga (si es aceptable para su política local) es un asunto diferente. Supongo que podría simplificar la configuración si el servidor no restringe la configuración a un solo grupo en los escenarios de roadwarrior, donde podría haber diferentes clientes de diferentes proveedores que utilizan diferentes grupos DH de forma predeterminada.

    
respondido por el ecdsa 29.08.2016 - 15:16
fuente
0

Para responder a la última parte de mi pregunta sobre por qué la selección de un grupo DH no está disponible en Cisco ASA ASDM para una configuración de túnel VPN IPSEC de cliente (¿por qué Cisco ASA le permite seleccionar un grupo DH para VPN IPSEC de sitio a sitio?) pero no para las VPN IPSEC del cliente), hay una discusión al respecto en los foros de Cisco donde se señala que el ASA (versión 8.3 con Cliente VPN 5) utiliza el grupo 2 de DH, a menos que la configuración esté usando la autenticación de certificado si lo hace. grupo utilizado en 5.

enlace

    
respondido por el user5870571 29.08.2016 - 15:42
fuente

Lea otras preguntas en las etiquetas