VPN - Gruppen für den D-H-Schlüsseltausch

[Theopolis]

Hallo,

VPN funktioniert bei uns im Büro sowohl mit dem Lancom VPN-Client und dem von Windows 10. Der Assistent im Lancom 1790VAW konfiguriert eine VPN Verbindung mit der Einstellung DH14. Wenn ich das bei Windows 10 ebenfalls konfiguriere, funktioniert alles reibungslos. DH14 wird offensichtlich nicht mehr empfohlen. Beim VPN-Client von Lancom kann ich das ändern. Funktioniert ... offensichtlich. Ändere ich das beim VPN-Client von Windows 10, meckert Windows, weil angeblich kein gültiges Zertifikat gefunden wird.

"Die folgenden Gruppen werden für den Schlüsseltausch mit dem Diffie-Hellman-Verfahren empfohlen: " (BSI TR-02102-3)

Was genau bedeutet ... empfohlen? Ist jede andere Einstellung unsicher?

Gruß, Theopolis

[Dr.Einstein]

Du musst das Sicherheitsniveau mittels PowerShell anheben:

https://learn.microsoft.com/en-us/power ... ver2022-ps

Ist jede andere Einstellung unsicher?

Ja. Entweder es existieren reale ausnutzbare Lücken, oder man sagt, dass die einzusetzende Rechenleistung für Brute-Force o.ä. Attacke in einem vertretbaren Zeitrahmen möglich ist. Dies ist vor allem bei asymmetrischen Verfahren der Fall, wo eine gewisse Bitlänge für den Austausch der dynamischen Schlüssel zum Einsatz kommt.

[Theopolis]

Hatte zum Testen Zertifikate auf einer Debian "bullseye" gebaut. Die Zertifikate, die jetzt final zum Einsatz kommen sollten ... funktionieren nicht. Gleiche Konfiguration ... allerdings Debian "bookworm" verwendet.

Rückmeldung dauert also einen Moment ...

Gruß, Theopolis

[Theopolis]

Du musst das Sicherheitsniveau mittels PowerShell anheben:

https://learn.microsoft.com/en-us/power ... ver2022-ps

Den hatte ich schon gefunden. Ausprobiert habe ich:

Code: Alles auswählen

Set-VpnConnectionIPSecConfiguration -ConnectionName "<NAME>" -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -DHGroup Group14 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -Force -PassThru

Funktioniert. Ändere ich den Parameter von -DHGroup auf ECP256 bekomme ich dann lediglich die Fehlermeldung, dass kein gültiges Zertifikat gefunden wird. Würde gerne den Windows 10 Client verwenden, weil es dann leichter ist, unserem "Budgetverantwortlichen" Geld für zusätzliche Lancom Hardware abzuknöpfen ...

Bin halt in den Teich reingehüpft und hatte in meiner jugendlichen Naivität angenommen, dass meine grundlegenden Schwimmkenntnisse vorerst ausreichen würden.

Gruß, Theopolis

[Dr.Einstein]

As you mentioned, using ECP DH currently means that ECDSA certificates have to be used, at least for machine certificate authentication (see e.g. this ticket on the strongSwan issue tracker). It might not be the case for user certificates via EAP-TLS.

https://serverfault.com/questions/10190 ... -or-higher

Kenne mich nicht so mit den sehr hohen DH Gruppen aus, aber für mich klingt es so, dass hier ein Bestandteil im Zertifikat notwendig ist, um die DH Gruppe nutzen zu können. Ob das so stimmt, ehrlich gesagt keine Ahnung, aber deine Meldung klingt sehr danach.

Dann noch ein Hinweis von mir: Lancom kennt (leider) keine Unterscheidung zwischen DH-Gruppe zum Aufbau und dem PFS Verfahren. Du hast aber im Client aktuell beides (testweise, schon klar) unterschiedlich. Kommt es nach x Stunden zum Rekeying wird dies aktuell fehlschlagen und den VPN trennen.

[GrandDixence]

Das Thema "sehr hohe DH Gruppen@Windows VPN-Client (Agile VPN Client)" wurde unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101897
ausführlich behandelt. Siehe auch die nachfolgenden Beiträge inklusive Seite 3!

[Theopolis]

Mit neuen ECDSA Zertifikaten und der Einstellung ...

Code: Alles auswählen

Set-VpnConnectionIPSecConfiguration -ConnectionName "<NAME>" -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -DHGroup ECP384 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup ECP384 -Force -PassThru

... hatte ich es ausprobiert. Hat auf Anhieb tadellos funktioniert.

Gruß, Theopolis