| Thema |
Verfasser |
Letzte Antwort |
| IPsec Roadwarrior PSK |
tobias ( ---.dip.t-dialin.net) |
24 Sep 2008 10:09 |
Hallo,
ich hätte eine grundlegende Frage:
Ich möchte ein Roadwarrior VPN aufbauen. Die Clients haben daher immer andere IP Adressen.
Aber ich möchte aus Gründen der Performance über PSK arbeiten.
Jetzt meine Frage:
in der ipsec.secrets müsste ich ja entweder die IP des clients mit eintragen um jedem einen anderen PSK zu geben oder alle haben den selben psk.
Kann ich das irgendwie bewerkstelligen, dass meine Clients alle einen anderen PSK haben? z.b. durch leftid=client1 und dann in der ipsec.secrets:
client1 server : "passwort_mit_client1"
client2 server : "passwort_mit_client2"
...
vielen Dank für eine Antwort!
Grüsse
Tobias |
| ||
| RE: IPsec Roadwarrior PSK | Ralf ( ---.dip.t-dialin.net) | 19 Aug 2008 09:27 |
Hallo,
nicht wenn Du MainMode (default bei *Swan und sicherer) verwendest. Das geht nur im Aggressive Mode (Sicherheitsprobleme).
Gruß,
Ralf
|
| RE: RE: IPsec Roadwarrior PSK | tobias ( ---.emea.daimlerchrysler.com) | 22 Aug 2008 09:35 |
Danke!
Wie ist das eigentlich unter IKEv2? kann dieser PSK für Roadwarriors und für jeden einen anderen Key? Weil bei IKEv2 existiert ja kein AggressiveMode und MainMode mehr.
Danke für Ihre Hilfe! |
| RE: RE: RE: IPsec Roadwarrior PSK | Ralf ( ---.dip.t-dialin.net) | 22 Aug 2008 09:46 |
Jup. Eine der großen Verbesserungen von IKEv2.
Gruß,
Ralf
|
| RE: RE: RE: RE: IPsec Roadwarrior PSK | tobias ( ---.113.101.31) | 25 Aug 2008 21:25 |
hey,
ich habe mich heute mit IKEv2 näher beschäftigt.
auf wikipedia steht folgendes:
IKE provides eight distinctly different initial exchange mechanisms, each one of which has slight advantages and disadvantages when compared to the others giving rise to fierce debates amongst security folk. IKEv2 has one, four-message exchange.
gibt es für die Phase 1 nicht mehr die Möglichkeit von digitalen Signaturen, PSK und Public Key Encryption?
Welches ist das eine Verfahren, das oben im Wikipedia Artikel angesprochen wird? Weil eigentlich gibt es noch einen PSK Modus soweit ich das verstanden habe und auch die Möglichkeit mittels digitaler Signaturen.
Openswan unterstützt glaube ich ikev2, also jedenfalls kommt bei der installation die Frage ob das auch unterstützt werden soll.
Wie kann ich in der Config Datei den ikev2 modus aktivieren?
StrongSwan unterstütz laut homepage ikev2. Vll ist es bei Openswan noch nicht unterstützt.
Was ich ebenfalls noch nicht ganz verstehe, warum auf der deutschen Wikipedia Seite geschrieben wird, dass IKEv2 die RfCs von IKEv1 zusammenfasst und nachfolgend der Main Mode und Aggressive Mode erklärt werden, obwohl diese in IKEv2 ja gar nicht mehr existieren. Und auch sonst wird nichts über IKEv2 dort geschrieben.
Nochmal zu IKEv2:
Es werden insgesamt nur noch vier Meldungen benötigt.
Aber dadurch scheint mir, dass keine Identitätsprotection mehr geboten ist. Da der Inititiator immer seine ID unverschlüsselt überträgt. Gibt es keinen Schutz mehr der Identität?
Cookies scheint es auch nicht mehr zu geben. Die werden erst nachdem der Responder einen DoS feststellt eingesetzt.
zu OpenVPN:
OpenVPN bietet keinen Identitätsschutz. Oder lässt sich das auch bewerkstelligen?
Grüsse
tobias |
| RE: RE: RE: RE: RE: IPsec Roadwarrior PSK | Ralf ( ---.dip.t-dialin.net) | 26 Aug 2008 08:33 |
On 25 Aug 2008 21:25 'tobias' wrote:
> gibt es für die Phase 1 nicht mehr die Möglichkeit von digitalen Signaturen, PSK und Public Key Encryption?
Hmh.
Es ist einiges anders geworden. Die strenge Unterscheidung von Phase 1 und 2 fällt weg. Wird nur ein Tunnel gebraucht, werden die IPsec SAs gleichzeitig mit den ISAKMP SAs ausgehandelt (in vier Paketen). Weitere IPsec SAs können dann im folgenden ausgehandelt werden.
Schöne Erläuterung in:
http://www.heise.de/security/Einfacher-VPN-Tunnelbau-dank-IKEv2--/artikel/102744/0
> Welches ist das eine Verfahren, das oben im Wikipedia Artikel angesprochen wird? Weil eigentlich gibt es noch einen PSK Modus soweit ich das verstanden habe und auch die Möglichkeit mittels digitaler Signaturen.
Richtig. Aber die mathematischen Verfahren unterscheiden sich nicht mehr ;-)
>
> Openswan unterstützt glaube ich ikev2, also jedenfalls kommt bei der installation die Frage ob das auch unterstützt werden soll.
Ja, aber nicht so gut wie strongSwan und vor allem nicht so gut dokumentiert. Ich verwende hier nur strongSwan.
>
> Was ich ebenfalls noch nicht ganz verstehe, warum auf der deutschen Wikipedia Seite geschrieben wird, dass IKEv2 die RfCs von IKEv1 zusammenfasst und nachfolgend der Main Mode und Aggressive Mode erklärt werden, obwohl diese in IKEv2 ja gar nicht mehr existieren. Und auch sonst wird nichts über IKEv2 dort geschrieben.
Tja, das ist nunmal das Wiki.
>
> Nochmal zu IKEv2:
> Es werden insgesamt nur noch vier Meldungen benötigt.
> Aber dadurch scheint mir, dass keine Identitätsprotection mehr geboten ist. Da der Inititiator immer seine ID unverschlüsselt überträgt. Gibt es keinen Schutz mehr der Identität?
Die ID wird immer verschlüsselt übertragen. Unverschlüsselte IDs gibt es nicht mehr.
> Cookies scheint es auch nicht mehr zu geben. Die werden erst nachdem der Responder einen DoS feststellt eingesetzt.
Richtig.
> zu OpenVPN:
> OpenVPN bietet keinen Identitätsschutz. Oder lässt sich das auch bewerkstelligen?
Nein, meines Wissens überträgt OpenVPN zumindest bei Zertifikaten die ID immer im Klartext.
Gruß,
Ralf
|
| RE: RE: RE: RE: RE: RE: IPsec Roadwarrior PSK | tobias ( ---.emea.daimlerchrysler.com) | 26 Aug 2008 09:43 |
Vielen Dank
die heise Seite ist hilfreich.
Jetzt ist mir klar, dass bei IKEv2 ein Identitätsschutz geboten wird, da die Pakete ab Nachricht 3 verschlüsselt sind.
|
| RE: RE: RE: RE: RE: RE: RE: IPsec Roadwarrior PSK | tobias ( ---.dip.t-dialin.net) | 8 Sep 2008 19:36 |
hallo
ich hätte noch eine Frage zum Identitätsschutz:
bei ssl mit beidseitiger authentisierung und auch bei openvpn im tls modus werden die Zertifikate immer im Klartext übertragen?
kann man nicht die öffentl. Schlüssel der peers auf dem gateway speichern? dann müssten die clients aber ihre Identität übermitteln. nur geht das bei ssl?
diese identität wäre dann aber im klartext, oder?
|
| RE: RE: RE: RE: RE: RE: RE: IPsec Roadwarrior PSK | tobias ( ---.dip.t-dialin.net) | 8 Sep 2008 19:58 |
sorry doppelpost
|
| RE: RE: RE: RE: RE: RE: RE: RE: IPsec Roadwarrior PSK | Ralf ( ---.dip.t-dialin.net) | 24 Sep 2008 10:09 |
Ja,
meines Wissens gibt es unter SSL/TLS keinen Identitätsschutz.
Gruß,
Ralf
|
17 Oct 2008: