Descriptografando pacotes ESP com modo de transporte IPSEC se a chave pré-compartilhada for conhecida

Navegue suas respostas
3

Estou lendo sobre o IPSec e queria saber se eu poderia usar o wireshark para descriptografar pacotes ESP de sessões de modo de transporte IPSEC que estão usando uma chave pré-compartilhada. Ao ler este tópico , concluí que, mesmo que a chave pré-compartilhada já seja conhecida, ainda não é trivial descriptografar Pacotes ESP por causa do processo ISAKMP. Parece que um dump principal do roteador é necessário para obter as chaves de criptografia e autenticação necessárias para o wireshark.

Esta é a minha interpretação do que é preciso, e alguém poderia explicar como o ISAKMP faz com que as informações do endpoint sejam necessárias? Estou tendo problemas para encontrar uma explicação que não exija mais informações em criptografia do que eu (por exemplo, RFC 2408 ) (Mas talvez seja porque não pode ser explicado de outra forma?).

    
por Kyle Brandt 12.11.2009 / 14:10

1 resposta

2

Parece que você está entendendo corretamente. A razão pela qual você precisa de dados de um dos endpoints é porque o ISAKMP está mudando as chaves periodicamente e a Cisco não fornece uma "boa maneira" de acessar essas informações. Os dumps de cada lado permitem que você veja qual é a chave atual. Não seria necessário se um dos colegas tivesse um utilitário para recuperar as chaves negociadas enquanto elas mudavam.

Editar: Deve-se notar que, para fazer isso, ele está usando um roteador virtual, não um roteador real para aqueles que não estão familiarizados com o GNS3 / Dynamips / Dynagen. Ele também afirmou que se você estivesse criando esta VPN usando certos serviços linux em vez de um roteador Cisco, você seria capaz de consultar a chave atual sem problemas.

    
por 12.11.2009 / 15:35

Tags

Servidor Mac OS X: Como criar compartilhamento de internet com rastreamento de cota Por que as falhas de login podem fazer com que o SQL 2005 seja descartado e descartado?