TGVPN — ошибка в конфигурации PFS
Vee SecurityКоманда Vee Security обнаружила ошибку в конфигурации TGVPN, которая существенно снижает уровень безопасности VPN-сервиса, предоставляемый этой компанией.
Сервис предоставляет MDM-профили для устройств компании Apple, позволяющие конфигурировать VPN-соединение на устройствах пользователей в один клик. Конфигурация подключения автоматически импортируется из файла MDM-профиля.
Наши специалисты проанализировали MDM-профиль TGVPN, распространяемый среди клиентов и обнаружил, что по умолчанию функция PFS (Perfect Forward Secrecy) отключена:
Что такое PFS?
PFS is a must have for every IPsec tunnel. Using PFS will make the endpoints negotiate a new key for each IKE and/or IPsec SA upon rekey or reauthentication event. This protects the confidentiality of the traffic, if the IKE shared secret is leaked.
(Перевод: PFS необходим для любого IPsec-туннеля. Использование PFS обеспечивает согласование нового ключа для каждого IKE/IPsec SA при каждой переаутентификации. Это защищает конфиденциальность канала связи при утечке IKE Shared Secret).
Таким образом, трафик, проводимый через предоставляемый TGVPN сервис, может быть скомпрометирован при утечке shared secret. Отключение PFS недопустимо в подобных сервисах и является показателем низкой компетентности специалистов, выполнявших конфигурацию MDM-профилей.