Ubiquiti EdgeOSベースの機器を使用して、2つのサイト間にIPSec接続をセットアップしています。 DDNSサービス(静的IPはISPからは利用できません)を使用すると、east.example.net
およびwest.example.net
。
DDNSの使用には問題があります。西サイトがダウンしているとしましょう。ウェストサイトがDDNSを更新できるようになる前に、ISPは潜在的に不正なサーバーにアドレスを提供します。イーストサイトが接続を復元しようとすると、この不正なサーバーとのネゴシエーションが試行されます。
PSKの使用中にIPSecを実装した場合、この試みの後、私のPSKの機密性は侵害されますか?
PSKが強力(128ビットのエントロピーなど)である場合、ブルートフォースまたは辞書攻撃で攻撃することは現実的ではないため、心配する必要はありません。
ただし、脆弱なPSKは、不正なサーバーによって攻撃される可能性があります。
IKEv2( RFC 7296、セクション2.15 )の場合、PSKは、クライアントが提供するIKE_AUTH
リクエストとAUTH
ペイロードの暗号化に使用されるキーマテリアルに混合されません。これは、PRFを介してPSKを組み込んだもので、サーバーが認証される前に送信されます(ユーザー名/パスワードベースのEAP認証では、サーバーが最初に証明書で認証されます)。したがって、不正なサーバーは、そのAUTHペイロードを取得した後、比較的簡単に弱いPSKを攻撃できます。ただし、要求は暗号化されているため、パッシブリスナーは攻撃できません。
メインモードのIKEv1( RFC 2409、セクション5.4 )では、クライアントによる3番目の要求の暗号化に使用されるキーマテリアルにPSKがさらに混合されます。ただし、悪意のあるサーバーは、復号化されたデータをIKEメッセージとして解析でき、HASH_I
ペイロードを同じPSKで検証できるようになるまで、別のPSKを使用して3番目の要求を復号化しようとすることで、弱いPSKを攻撃できます(同様のものが時々同じクライアントIPに対して複数のPSKを使用できる正当なサーバーによって実行されます)。 IKEv2と同様に、パッシブリスナーは暗号化のためにPSKを攻撃できません。
さて、アグレッシブモードのIKEv1の場合、サーバーはHASH_R
を提供する必要があります。これはPSKを認識していることを証明するために、まずPSKを組み込んでいるため、シナリオでは、不正サーバーがクライアントを続行しないため、安全です。不正なハッシュで応答します。ただし、ハッシュは暗号化されずに交換されるため、パッシブリスナーから攻撃される可能性があるため、一般的には安全ではありません。
サーバーが不正なサーバーに接続しようとした場合でも、PSKは安全です。
PSKは実際には相手に送信されず、暗号素材を生成するための入力として使用されます。悪意のあるサーバーが既にPSKを持っている場合を除き、サーバーからのメッセージを解読することはできません。
さらに読むために:
https://crypto.stackexchange.com/questions/9926/what-is-the-shared-secret-used-for-in-ipsec-vpn
RFC2409(IKEv1)
RFC4306(IKEv2)