¿Cuáles son los riesgos prácticos de usar el modo agresivo IKE con una clave previamente compartida?

8

Nuestro proveedor de escaneo nos está marcando porque estamos utilizando IKEv1 en modo agresivo con una clave previamente compartida. Estamos utilizando el Cliente VPN Global de Sonicwall para conectarnos al dispositivo VPN en cuestión.

Entiendo que esto es un riesgo, pero no tengo una idea clara de lo arriesgado que es. ¿Cuáles son los riesgos prácticos involucrados aquí?

Supuestamente, las claves más largas son más seguras. Suponiendo que la clave sea lo suficientemente aleatoria, ¿cuántos caracteres se consideran "seguros"?

    
pregunta poke 19.12.2014 - 16:00
fuente

2 respuestas

7

Cuando estás usando el modo Agresivo, el hash de autenticación (clave precompartida) se transmite como respuesta al paquete inicial del cliente vpn que desea establecer un Túnel IPSec. El hash (clave pre compartida) no está cifrado . Si un atacante puede capturar estos paquetes de sesión, puede ejecutar un ataque para recuperar el PSK. El ataque solo afecta el modo agresivo porque el modo principal encripta el hash. Para obtener más información sobre esto, consulte el tidbit Modo principal vs. Agresivo de Cisco. Tenga en cuenta que existen herramientas de seguridad para simplificar estos ataques (ikescan, etc.), consulte: enlace

    
respondido por el munkeyoto 19.12.2014 - 17:18
fuente
3

Solo con el modo agresivo IKEv1, un atacante pasivo puede oler "el hash". La única parte desconocida de los ingredientes de este hash es el PSK. - Todavía es un hash criptográfico, por lo que los ingredientes no pueden calcularse a partir de él como tal.

El problema es: un atacante puede hacer un diccionario sin conexión y ataques de fuerza bruta en él. - Entonces, como sugieres, la fuerza realmente depende de la aleatoriedad y la longitud de PSK que uses. Con un buen PSK, creo que todavía llevará años romperlo. Lamentablemente, no sé cuántos caracteres se requieren en ese rango.

    
respondido por el Robert Siemer 26.10.2015 - 11:57
fuente

Lea otras preguntas en las etiquetas