Strongswan und Passwörter

Hallo,

gibt es in Strongswan die Möglichkeit, zumindest Passwörter nicht im Klartext speichern zu müssen? Den Zugriff auf ipsec.secrets auf root zu begrenzen reicht aus meiner Sicht nicht aus, schon gar nicht bei XAUTH. Eventuell mit swanctl möglich? Ich finde es merkwürdig, bei einer kritischen Anwendung wie Strongswan alles im Klartext speichern zu müssen. Oder muss ich dafür ein Bash-Script basteln?

Merci

Content-Key: 744474495

Url: https://administrator.de/contentid/744474495

Ausgedruckt am: 29.07.2021 um 23:07 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 19.06.2021 um 08:42:36 Uhr
Goto Top
Moin,

wenn du dir darum Gedanken machst, würde ich die Authentifizierung auf Zert oder Zert + User-Auth umstellen.

Speichern des Passworts ist ja eigentlich nur bei einer automatischen Anmeldung nötig. Da hat auch OVPN im Vergleich das selbe Problem.

Gruß
Spirit
Mitglied: colinardo
colinardo 19.06.2021 aktualisiert um 11:17:14 Uhr
Goto Top
Zusätzlich zur vorzuziehenden zertifikatsbasierenden Authentifizierung lassen sich Secrets auch Zentral auf einem Radius Backend mit Strongswan anbinden
https://wiki.strongswan.org/projects/strongswan/wiki/EAPRADIUS
Da man meist sowieso irgendwo einen Radius stehen hat mach ich mir ja nicht nochmal extra die Mühe eine zweite cred. DB aufzubauen wenn man doch noch Passwörter nutzt.

Grüße Uwe
Mitglied: Inf1d3l
Inf1d3l 19.06.2021 aktualisiert um 11:41:17 Uhr
Goto Top
Hi,

mir geht es explizit um ikev1 mit PSK und XAUTH (main mode) auf einem HO-Laptop.

Was ist mit automatischer Anmeldung gemeint?

Die Verbindung starte ich manuell mit sudo ipsec up myvpn

Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Mitglied: colinardo
colinardo 19.06.2021 aktualisiert um 12:00:55 Uhr
Goto Top
Zitat von @Inf1d3l:
Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Hier kannst du Creds auf der Konsole mitgeben
https://wiki.strongswan.org/projects/strongswan/wiki/Charon-cmd
Ist aber genau so unsicher wie wenn du es abspeicherst. Du kannst es ja per Keychain verschlüsselt an
ablegen und mittels Agent entschlüsseln lassen
Heiß diskutierte Beiträge
general
Telekom hat größere StörunganteNopeVor 13 StundenAllgemeinInformationsdienste29 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Windows 365SarekHLVor 1 TagFrageWindows 1112 Kommentare

Hallo zusammen, nun ist es also soweit - Microsoft stellt mit "Windows 365" die Weichen in Richtung Windows as a Service: Wenn Microsoft da schreibt ...

question
Geplanter Server für Home LABraxxis990Vor 1 TagFrageServer-Hardware15 Kommentare

Guten Tag , Ich möchte gern meine aktuelle Hardware Tauschen. Im Einsatz ist ein kleiner Lenovo M93p ( Glaube ). Dort läuft ESXI mit 3 ...

question
VPN - Zwei Fritzboxen miteinander verbindenmeooosVor 1 TagFrageInternet14 Kommentare

Hi Leute, ich hab ein Problem und komme einfach nicht weiter. Jetzt hoffe ich, dass Ihr mir weiter helfen könnt. Also ich habe zwei Standorte ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 11 StundenFrageWindows 1025 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

question
Anfragen an internen- und externen DNS Server gelöst BPeterVor 1 TagFrageWindows Server17 Kommentare

Hallo, im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber ...

question
Absicherung Exchange ServerLKleemannVor 11 StundenFrageExchange Server6 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
CMS für Lebenslauf einer Maschine gelöst rrobbyyVor 1 TagFrageCMS10 Kommentare

Hallo zusammen, im Zuge einer Masterarbeit loten wir gerade ein paar Möglichkeiten aus, wie man die (alle) technischen Daten einer Anlage (Kran-Anlagen) strukturiert und nachvollziehbar ...