Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: vkre 13. 11. 2018, 08:37:09

Název: Nastavení LPTE/IPsec na aktuálním Router OS
Přispěvatel: vkre 13. 11. 2018, 08:37:09

Dobrý den,

vím, že na netu je mnoho návodů,, ale Router OS se mění, takže tyto návody nejsou úplně jasné. Mohl by zde dat někdo podrobný návod na nastavení L2TP/IPSEC serveru na Mikrotik vycházející z aktuální verze Router OS?

Případně i IKEV2 serveru?

Cílem je funkčnost s android a ios klienty.

Děkuji.

Název: Re:Nastavení LPTE/IPsec na aktuálním Router OS
Přispěvatel: samalama 13. 11. 2018, 16:59:12

neviem, co je na tomto how-to zastarale https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Název: Re:Nastavení LPTE/IPsec na aktuálním Router OS
Přispěvatel: vkre 13. 11. 2018, 22:57:03

Tak jsem si to nastavil, vše funguje k mé zkušenosti.

Akorát v sekci IP - Ipsec - Peer mi svítí hláška "unsafe configuration, suggestion to use certificates"

Můj dotaz: Používám autentizační metodu před sdílený klíč. Je to dnes bezpečnostní problém?

Název: Re:Nastavení LPTE/IPsec na aktuálním Router OS
Přispěvatel: MikyM 23. 11. 2018, 16:12:43

Citace: vkre  13. 11. 2018, 22:57:03

Tak jsem si to nastavil, vše funguje k mé zkušenosti.

Akorát v sekci IP - Ipsec - Peer mi svítí hláška "unsafe configuration, suggestion to use certificates"

Můj dotaz: Používám autentizační metodu před sdílený klíč. Je to dnes bezpečnostní problém?

Ahoj,
je to problém ale zatím není dostatečně zneužitelný pro širokou masu lidí, kteří si chtějí jen "hrát" pří posezení v restauraci/kavárně, kde mají free WiFi.
S dostupností "ready to use" nástrojů se to ale rychle změní...

Doporučení je PSK nenasazovat.

Pokud Tě to zajímá podrobněji pak tady je pár linků:

https://web-in-security.blogspot.com/2018/08/practical-dictionary-attack-on-ipsec-ike.html (https://web-in-security.blogspot.com/2018/08/practical-dictionary-attack-on-ipsec-ike.html)

Am I safe if I use PSKs with IKEv2?
No, interestingly the standard also mentions that IKEv2 does not prevent against off-line dictionary attacks.

https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2018/08/13/sec18-felsch.pdf (https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2018/08/13/sec18-felsch.pdf)

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec)

Warning: PSK authentication was known to be vulnerable against Offline attacks in "aggressive" mode, however recent discoveries indicate that offline attack is possible also in case of "main" and "ike2" exchange modes. General recommendation is to avoid using PSK authentication method.