ich habe in verbindung mit vpn einiges ueber zertifikate und pre shared secrets gelesen.
allerdings verstehe ich noch nicht ganz den vorteil von zertifikaten aus administrativer sicht.
das einzige was mir dazu einfaelt ist die moglichkeit die gegenstelle eindeutig zu identifizieren (was sicher nicht unerheblich ist) - aber lohnt sich der aufwand?
und koennte ein zertifikat nicht genauso kopiert werden, wie ein pre shared secret?
VPN: wozu eigentlich zertifikate statt pre-shared-secrets?
hi,
prinzipiell bieten Zertifikate mehrere Vorteile:
- besserer Schlüssel. Preshared Keys sind meisst sehr "unzufällig" (kein bit-Salat sondern z.B. Worte die in irgendwelchen Listen stehen und somit per Wörterbuchangriff geknackt werden können.
- bei einer Roadworrior-Config musst du Connections von allen IP´s akzeptieren. Willst du nun einen Benutzer den Zugriff für die Zukunft verweigern musst du den PSK ändern (es gibt ja nur einen für alle Benutzer). d.h. alle Bentzer müssen zur gleichen Zeit diesen ändern. siehe auch: http://www.heise.de/security/artikel/38014
- per Zertifikaten kann man sogar ändere Firewallregeln für die einzelne Benutzer festlegen (ist a bisserl tricky)
- PSK scheinen leicht angreifbar zu sein. Siehe http://www.heise.de/security/artikel/44947
Prinzipiell: IPSEC (freeswan<->Win2k) ist komplex. Habe ewig gebraucht um das an´s laufen zu bekommen. nun rennt es aber.
prinzipiell bieten Zertifikate mehrere Vorteile:
- besserer Schlüssel. Preshared Keys sind meisst sehr "unzufällig" (kein bit-Salat sondern z.B. Worte die in irgendwelchen Listen stehen und somit per Wörterbuchangriff geknackt werden können.
- bei einer Roadworrior-Config musst du Connections von allen IP´s akzeptieren. Willst du nun einen Benutzer den Zugriff für die Zukunft verweigern musst du den PSK ändern (es gibt ja nur einen für alle Benutzer). d.h. alle Bentzer müssen zur gleichen Zeit diesen ändern. siehe auch: http://www.heise.de/security/artikel/38014
- per Zertifikaten kann man sogar ändere Firewallregeln für die einzelne Benutzer festlegen (ist a bisserl tricky)
- PSK scheinen leicht angreifbar zu sein. Siehe http://www.heise.de/security/artikel/44947
jein. Zertifikate kann man per passphrase sichern. Soll die Verbindung aber ohne Benutzereingriff (unter Linux) aufgebaut werden können muss die Passphrase wieder in einer Datei stehen (die ja vom root gelesen werden kann). Windows speichert die im Zertifikatspeicher wo sie erstmal nicht so leicht rauszukriegen ist.koennte ein zertifikat nicht genauso kopiert werden, wie ein pre shared secret?
Prinzipiell: IPSEC (freeswan<->Win2k) ist komplex. Habe ewig gebraucht um das an´s laufen zu bekommen. nun rennt es aber.
erstmal danke fuer die links - sind ja wirklch toll 
nochmal wg. pre share secret / vs zertifikat
wo ist der vorteil gegenueber einem zertifikat (vom administrationsaufwand her gesehen) wenn ich fuer jeden user entweder ein zertifikat oder ein pre share secret eintrage? das habe ich noch nicht verstanden.
nochmal wg. pre share secret / vs zertifikat
wo ist der vorteil gegenueber einem zertifikat (vom administrationsaufwand her gesehen) wenn ich fuer jeden user entweder ein zertifikat oder ein pre share secret eintrage? das habe ich noch nicht verstanden.
Debian SID
der Hauptunterschied ist der, das man bei einer klassischen Roadworrier-Konfig (Verbindungsaufbau von irgendeiner IP) nur einen Preshared Key (PSK) machen kann. Somit kann man eine Person zu einem späteren Zeitpunkt nicht aussperren (z.B. weil er die Firma verlassen hat) ohne den PSK zu ändern. Bei den Zertifikaten zieht man einfach das Zertifikat zurück und genereiert eine neue CRL (inkl. Update auf dem Gateway) und schon darf er sich nicht mehr einwählen.