He configurado una conexión VPN IKEv2 como una alternativa a un proxy HTTP (ya que las credenciales de los proxies HTTP vuelan en texto plano y iOS todavía no puedo recordar correctamente las credenciales de proxy ) y me gustaría saber qué tan difícil sería capturar el PSK para un MITM.
La persona que usa el dispositivo cliente no es muy experta en tecnología y prefiero no darles más dolores de cabeza al requerir certificados para esta conexión en particular (la seguridad está a cargo de HTTPS de todos modos, solo me preocupan algunos idiota descifrando el PSK y cometiendo actividades ilegales a través de la VPN).
Aquí están las partes relevantes de mi configuración de Strongswan:
connections {
phone {
version = 2
local {
auth = psk
id = server
}
remote {
auth = psk
id = client
}
children {
child {
# is there a better option ?
esp_proposals = aes256-sha256-modp4096
}
}
}
}
secrets {
ike {
id = server
id = client
# the real PSK would have a similar length
psk = c687a6b44304942b5a19257e50da5b45941f3756
}
}