Forzar que VPN IPSec / L2TP de Windows use AES en modo principal IPSec


1

El cliente VPN IPSec basado en RAS en Windows no parece respetar los valores predeterminados de IPSec en Windows Firewall (que aloja el controlador IPSec), pero insiste en usar el cifrado 3DES con integridad SHA1 para el intercambio de claves (también conocido como modo principal IPSec). Ambos son algoritmos heredados ahora.

Por lo tanto, no importa qué cifrado se adopte para la transferencia de datos (modo rápido), que RAS admite hasta AES-256-CBC, todo el enlace es tan débil como 3DES / SHA1.

Por otro lado, el controlador IPSec en Windows Firewall puede manejar SHA-384, AES-GCM y ECDH P-384, entonces, ¿hay alguna forma de configurar el cliente VPN para usarlos o simplemente respetar los valores predeterminados establecidos en Windows Firewall?

Respuestas:


2

Tiene un problema similar con IPSec / IKE. Parece que el servicio RasMan no respeta por completo las políticas IPSec configuradas a través del Firewall de Windows. Y lo mejor que se me ocurrió fue AES-SHA1-DH2048 a través de la destrucción del registro. Lo almacené como archivo .reg, hay comentarios, por lo que las cosas deberían estar bastante claras.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2]
"CustomParams"=dword:00000001
"CustomProposalsCount"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals\0]
; for "Quick Mode", all keys optional
; DES, 3DES, AES_128, AES_256
"esp_encr"="AES_128"
; MD5, SHA1
"esp_auth"="SHA1"
; MD5, SHA1
;"AH"="SHA1"
; NONE, 1, 2, 2048, ECP_256, ECP_384, MM
;"PFS"="MM"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
; for "Main Mode"
; 0 - disable, 1 - enable, 2 - force /// WARNING! "force" disables stronger DH groups!
"NegotiateDH2048_AES256"=dword:00000001

¡¡Muchas gracias por publicar esto!! Lo intentaré e informaré.
billc.cn 01 de
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.