L2TP/IPSEC-Verbindung sniffen und entschlüsseln

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von °EraZoR°, 23. November 2010 .

  1. 23. November 2010
    Hi,

    ich will wie oben schon beschrieben eine L2TP-Verbindung, die mit IPSEC verschlüsselt wird mitsniffen und entschlüsseln..
    Habe mir zu dem Zweck in einer VirtualBox WinServer2003 Enterprise installiert und den Server eingerichtet...

    Das mitsniffen ist ja mit ethercap und Konsorten nicht das Problem..
    Aber wie entschlüssel ich das ganze nun?

    Habe mich zwar nicht beliebig tief mit der Materie beschäftigt, aber soweit ich gelesen habe gibt es bei L2TP nur die Authentifizierung zB über den Windows-Login oder ähnliches..
    Eine Verschlüsselung des Traffics hat das ganze ja soweit ich das verstanden habe nicht..
    Das erledigt ja IPSEC..
    Und da es ja nur das eine PSK gibt, verschlüsselt der Client ja den Traffic mit dem PSK und der Server entschlüsselt das ganze auch wieder mit dem gleiche PSK, sehe ich das richtig?

    Folglich müsste ich doch auch ganz einfach den Traffic mitschneiden und entschlüsseln können, da mir ja das PSK bekannt ist..
    Aber wie stelle ich das an?

    Ich habe schon was mit tcpdump -E gelesen, was bei mir aber nicht wirklich funktioniert hat..
    Hab ich was falsch gemacht, bzw. kann man das ganze gar nicht entschlüsseln oder kennt jmd einen anderen Weg?

    MfG
    °EraZoR°
     
  2. 23. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    Nein, der PSK und die Zertifikate werden nur zur Authentifikation verwendet. Die Verschlüsselung erfolgt mit einem Session Key, welcher mittels Diffie-Hellman ausgetauscht wurde, damit die Eigenschaft Forward Secrecy gewährleistet werden kann! Diesen Session Key kannst du nicht durch bloßes mitlesen erhalten, sondern musst die privaten Parameter von mindestens einer Seite kennen oder einen MITM machen...
     
  3. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    Ja, dass ich dabei eine Man-In-the-Middle-Attacke machen muss ist mir schon klar, da ich ja gar keine Daten der Kommunikation mitschreiben kann...
    Laut dieser Seite von MS

    Standard-Verschl
     
  4. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    dazu ist sogennant VPN glaub ich gamacht das du es nicht sniffen kannst... und vorallem nicht entschlüsseln
    oder lieg ich da falsch?
    gruß
     
  5. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    Hochinteressantes Thema! Solche fragen hatte ich mir auch schon gestellt, und bin mal gespannt ob du noch eine Lösung findest.

    Mal eine reine Verstaendnissfrage: Waere es moeglich mit Ethercap die L2TP Autentifizierung und den PSK mitzuschneiden um selbst eine Verbindung zum VPN Server herzustellen?
     
  6. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    Ich habe jetzt erst bewusset gelesen, was genau das Kommando "tcpdump -E" macht. Hast du die Manpage dazu gelesen und liegen dir ALLE benötigten Werte vor?
    Ich habe gerade selbst mal geschaut und kann alle benötigten Werte in der SAD nachschauen, wobei der Secret Key für jede Session anders und NICHT der PSK war, aber evtl sind meine Einstellungen anders. Auf jeden Fall würde ich mal in die SAD schauen, ob dort die benötigten Werte liegen...

    Klar, weil IPsec unsicher und gebrochen ist! :lol: Es wird auf keinen Fall der PSK oder andere sicherheitsrelevante Informationen im Klartext übertragen, sondern nur zur Authentifizierung genutzt... und mitschneiden und wieder abspielen geht auch nicht!
     
  7. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    Also mitschneiden kannst du das.. Mit ethercap eine Man-In-The-Middle-Attacke und dann mit Wireshark oder ähnlichem mitschreiben..
    Oder halt mit TCPdump..
    Und insofern man dass dan auch hinbekommt das ganze zu entschlüsseln, sollte das gehen..
    Allerdings musst du halt mindestens das PSK kennen soweit ich das verstehe..

    MfG
     
  8. 24. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

     
  9. 25. November 2010
    AW: L2TP/IPSEC-Verbindung sniffen und entschlüsseln

    hehe ^^ ja schneide mal den traffic mit bei ipsec, da ist dann nur wichtig wie stark die verschlüsselung ist.

    meiner meinung nach wirst du alles über 128bit nicht entschlüsseln können, vorallem brauchst du extrem starke rechenresourcen um den variablen verschlüsselungs key aller paar minuten/traffic-nutzung neu zu entschlüsseln.

    schau dir mal das verfahren genau an von IPSEC 1/2 bzw. L2TP bis jetzt soll es wohl noch keinen gegeben haben der so ein vpn tunnel entschlüsselt/geknackt/gehackt wie auch immer haben.

    aber wenn du an einer guten lösung dran bist, schliess ich mich deiner entwicklung an .
     
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.