Strongswan und Passwörter

inf1d3l
Goto Top
Hallo,

gibt es in Strongswan die Möglichkeit, zumindest Passwörter nicht im Klartext speichern zu müssen? Den Zugriff auf ipsec.secrets auf root zu begrenzen reicht aus meiner Sicht nicht aus, schon gar nicht bei XAUTH. Eventuell mit swanctl möglich? Ich finde es merkwürdig, bei einer kritischen Anwendung wie Strongswan alles im Klartext speichern zu müssen. Oder muss ich dafür ein Bash-Script basteln?

Merci

Content-Key: 744474495

Url: https://administrator.de/contentid/744474495

Ausgedruckt am: 19.08.2022 um 07:08 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 19.06.2021 um 08:42:36 Uhr
Goto Top
Moin,

wenn du dir darum Gedanken machst, würde ich die Authentifizierung auf Zert oder Zert + User-Auth umstellen.

Speichern des Passworts ist ja eigentlich nur bei einer automatischen Anmeldung nötig. Da hat auch OVPN im Vergleich das selbe Problem.

Gruß
Spirit
Mitglied: colinardo
colinardo 19.06.2021 aktualisiert um 11:17:14 Uhr
Goto Top
Zusätzlich zur vorzuziehenden zertifikatsbasierenden Authentifizierung lassen sich Secrets auch Zentral auf einem Radius Backend mit Strongswan anbinden
https://wiki.strongswan.org/projects/strongswan/wiki/EAPRADIUS
Da man meist sowieso irgendwo einen Radius stehen hat mach ich mir ja nicht nochmal extra die Mühe eine zweite cred. DB aufzubauen wenn man doch noch Passwörter nutzt.

Grüße Uwe
Mitglied: Inf1d3l
Inf1d3l 19.06.2021 aktualisiert um 11:41:17 Uhr
Goto Top
Hi,

mir geht es explizit um ikev1 mit PSK und XAUTH (main mode) auf einem HO-Laptop.

Was ist mit automatischer Anmeldung gemeint?

Die Verbindung starte ich manuell mit sudo ipsec up myvpn

Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Mitglied: colinardo
colinardo 19.06.2021 aktualisiert um 12:00:55 Uhr
Goto Top
Zitat von @Inf1d3l:
Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Hier kannst du Creds auf der Konsole mitgeben
https://wiki.strongswan.org/projects/strongswan/wiki/Charon-cmd
Ist aber genau so unsicher wie wenn du es abspeicherst. Du kannst es ja per Keychain verschlüsselt an
ablegen und mittels Agent entschlüsseln lassen