отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

crypto isakmp key xxxx 0.0.0.0 0.0.0.0

Привет!

Интересует насколько уязвимо использование

crypto isakmp key xxxx 0.0.0.0 0.0.0.0

на DMVPN, при PSK около 28 символов.

В частности интересует подверженность атакам с интернет, т.к. DMVPN HUB смотрит в интернет и споки вешаются на него через интернет.

Т.е. IKE запросы с любого IP адреса будут доступны.

И еще, насколько я понимаю DMVPN работает в Main Mode, и атака применимая на Aggressive Mode в данном случае невыполнима даже при неизвестности IP Адресов споков, т.е. использовании

crypto isakmp key xxxx 0.0.0.0 0.0.0.0 ?

Планирую перейти на PKI, но запускать надо на PSK, т.к. сервер сертификатов еще не готов, хочу понять насколько это безопасно.

Спасибо!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

crypto isakmp key xxxx 0.0.0.0 0.0.0.0

Вы абсолютно правы. При использовании Main Mode атака, основанная на подборе разделяемого ключа и легко осуществимая в Aggressive Mode, невозможна. Поэтому необязательно даже иметь 28 символов (хотя почему нет, если дают?).

Передача IKE_ID в AM в открытом виде тут не при чем. MM принципиально лучше защищен по другим соображениям, чем AM, поэтому не слушайте, что вам тут другие говорят.

Недостаток wildcard PSK в том, что если его кто-то узнает, то придется менять на всех роутерах.

3 ОТВЕТ.

crypto isakmp key xxxx 0.0.0.0 0.0.0.0

Ну тут все достаточно очевидно - чем больше пиров в VPN-сери, тем менее надежным выглядит применение PSK, независимо от его длины. И, естественно, PKI с DMVPN является наиболее оптимальным и логичным решением, как с т. зрения безопасности, так и с т. зрения масштабируемости/удобства.

DMVPN не работает в aggressive/main режимов. DMVPN - это прежде всего GRE - сеть. Т.е., даже если не вешать на тунель tunnel protection ipsec ipv4, по сути будет тот же DMVPN, но трафик будет передаваться в открытом виде. А вот защита GRE-трафика уже выполняется с помощью IPSec, который может работать как в aggr так и main режимах, независимо от того, идет ли речь о DMVPN, S2S, RAVPN, etc. Конкретно в Вашем случае, т.к. в качестве IKE_ID используются IP-адреса, будет main-mode.

Атака, применимая в aggressive-mode, это, видимо, когда злоумышленник узнает IKE_ID, которые передаются в открытом виде, до генерации DH-ключей. Здесь, опять же, т.к. IKE_ID - это IP адреса пиров и хабов (не их доменные имена), а для аутентификации используется pre-shared ключи, никакого преимущества в плане безопасности main-mode не прибавляет.

Резюме такое, что лучше, как и планируется, перейти на PKI. Но до того момента, пока PKI будет подготовлена, нет ничего страшного в использовании PSK, если Вы не раздаете его всем направо и налево и уверены, что его не знают те, кто не должен

Cisco Employee

crypto isakmp key xxxx 0.0.0.0 0.0.0.0

Вы абсолютно правы. При использовании Main Mode атака, основанная на подборе разделяемого ключа и легко осуществимая в Aggressive Mode, невозможна. Поэтому необязательно даже иметь 28 символов (хотя почему нет, если дают?).

Передача IKE_ID в AM в открытом виде тут не при чем. MM принципиально лучше защищен по другим соображениям, чем AM, поэтому не слушайте, что вам тут другие говорят.

Недостаток wildcard PSK в том, что если его кто-то узнает, то придется менять на всех роутерах.

Re: crypto isakmp key xxxx 0.0.0.0 0.0.0.0

никакого преимущества в плане безопасности main-mode не прибавляет.

Да, был совсем не прав. Почему-то раньше как-то не придавал этому значения.. Смысл в том, что в AM, передается хеш ключа в открытом виде, после чего зная хеш, ключ можно подобрать оффлайн. В ММ ключ/хеш ключа как таковой не передается в принципе, соотв. сделать ничего подобного тому, что можно в АМ, не получится.

491
Просмотры
0
Полезный материал
3
Ответы
СоздатьДля создания публикации, пожалуйста в систему