作为一个独立的顾问,经常有人问我是一个“新鲜一双眼睛”,并进行网络评估。这有时会涉及到一个IPSec VPN的检查。
在周围的IPsec VPN部署的讨论中,我偶尔听到以下的变化:“是的,我们有一个IPSec VPN,它被配置为使用强加密算法。所以它是绝对安全的,你可能会喜欢花时间在我们的网络中的其他元素,而不是浪费你的时间检查VPN。”这些词有时可以指示自满和在仍然令人惊讶地普遍认为的IPsec VPN,尤其是一个使用强加密算法,如AES,是安全的一个信念,不论其精确的设计和配置。
现在,几乎每个人都知道,它是一般不使用弱算法,如56位DES在一个IPSec VPN是一个好主意。
但是仍然有时不明白的是,即使一个IPSec VPN使用相对较强的算法,如AES,颇具实力和保护这些算法可以提供不良的IPsec VPN设计和配置完全破坏。
如果你认为我夸大其词,而且即使配置不好的IPSec VPN可能是脆弱的只有政府和其他与获得巨大的计算资源,你可能想看看,如这两个相当随机的例子文章:“迷失东京:理论与实践的密码“和“思科安全公告:思科应对Internet密钥交换问题“。
所以,如果你有一个IPsec VPN,你是不是绝对有把握它的配置,它可能是一个好主意,只是仔细检查您不仅使用正确的算法,同时也表明VPN否则正确设计和配置。
下面是可能的薄弱环节十大检查评估您的IPsec VPN:
1.使用弱预共享密钥。
2.不适当使用IKE / ISAKMP侵略性模式(预共享弱密钥)的。
3.认证的不适当的方法(预共享密钥时数字签名[证书]基础的认证可能更合适)。
4.不适当使用预共享通配符或组密钥(其中使用替代的可能是更合适的/可能的话)的。
5.使用相同的预共享与多个对等键(类似于#4)。
6.不当使用扩展身份验证(XAUTH,当与弱预共享密钥和攻击模式IKE / ISAKMP一起使用时可能会易受攻击)。
(使用数字签名验证时相关)7.漏洞NTP和/或的CRL的/ OCSP使用PKI到DoS攻击。
8.相对较弱确保CA私钥存储。
9.含有paintext预先共享的密钥的IPsec的寄存VPN网关配置文件。
10.使用的加密无需验证。
这十大真的仅仅是个开始。所以,有一个非常好的挖过来,直到你已经把所有的基地,绝对满足您的IPsec VPN确实是安全的。
如果你需要在以上10名(及以上)的更多信息,谷歌是一个良好的开端。如果谷歌没有做的工作,有一些能提供更多的关于这本书(包括我自己!) - 只需付亚马逊的访问。
嗯,这是它为这个博客条目。如果你有任何想法,请发表评论。在未来几周内,我会在博客上各种各样的主题,但如果你要我盖的东西,特别是一定要告诉我。
标记