1 votes

La désactivation du Perfect Forward Secrecy constitue-t-elle une menace pour la sécurité ?

J'ai dû désactiver PFS dans les règles IPsec de l'un de nos ASA pour permettre aux clients Android Gingerbread de se connecter. Cette désactivation compromet-elle la sécurité du VPN ? Les communications sont en AES-256 ou AES-128 avec mot de passe de groupe. D'après mes recherches, il semble que PFS soit considéré par certains comme douteux, et pour vous dire la vérité, je ne l'ai jamais vraiment remarqué jusqu'à présent, alors je ne sais pas quoi faire ici.

ETA : puisque cela semble pertinent, l'ASA en question est utilisé uniquement pour l'accès à distance, pas de lan-to-lan.

2voto

frameworkninja Points 628

Cela dépend un peu de la façon dont vous avez configuré le VPN. Si vous utilisez des clés pré-partagées, alors PFS ne fait pas grand chose de toute façon. Si vous utilisez des certificats, que vous capturez une initialisation de session et que la clé secrète d'un dispositif est compromise (disons qu'un téléphone est volé, ce qui rend ces deux cas triviaux), il est alors beaucoup plus facile de calculer la clé sur l'ASA (ce qui facilite le décryptage de la session par quelqu'un qui peut capturer n'importe quelle session VPN).

Dans tous les cas, il faudrait encore un temps de calcul important pour craquer les clés et la capacité d'écouter les connexions VPN.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X