Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 3929 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is RED using RC4 or AES256?

rf@bec
Hello!

I'm a little bit confused which stream cipher is really used in the RED-tunnels [:S]

According to the datasheet:
"...all transferred data is protected using an AES256-encrypted tunnel."

But when I look into the red.log of a UTM220 I will see: 
red_server[****]: SELF: New connection from **.**.**.** with ID ********* (cipher RC4-SHA), rev1

And I've found no option in the webinterface to change this cipher.
I'm not a crpytoexpert, but to my knowledge there exists a few attacks to RC4 that is why ENISA and Microsoft recommend disabling it where possible.
Also for SHA-1 exists attacks and the NIST recomments SHA-256 instead.

Does anybody know here (maybe a astaro-guy[:)]) which encryption is really used in the RED and what the "RC4-SHA" entry in the log means.

Thanks, bye Josef


This thread was automatically locked due to age.
  • 0
    Hi, Josef, and welcome to the User BB!

    RED is meant to offer a secure, remote Ethernet connection.  It is not a VPN device that can make or receive "calls" to/from any IP.

    One important issue is that RED traffic is over UDP, not TCP, thus eliminating the exposure to reliability-layer collisions, the primary method used to crack RC4 and SHA1.

    When first connected to the Internet, a RED calls a secure server in the cloud to request its configuration.  Once it has received that, it calls the one, single UTM that "owns" it.  To fool the remote site into connecting to somewhere else presumes that the attacker can overcome the security of your public authoritative name servers to redirect the RED's call to a different IP.  Not impossible, but highly unlikely.  After that, the attacker would have to have knowledge of your internal infrastructure, your UTM's configuration and a copy of the self-signed private certificate created when the UTM was first installed.

    In order to attempt a man-in-the-middle attack, some serious investment to break the ISPs' security and/or your buildings' physical security would be required...

    If you have something that would be worth millions of dollars of effort, you can afford to invest in equipment that builds an IPsec VPN using the strongest authentication and encryption tools.  If not, I think the level of security offered by RED is more than you need even if the security of the Control Channel offered by RC4-SHA1 is a problem for other cryptographic applications. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    The main thing which confused me was seeing "AES256" on the datasheet but "cipher RC4-SHA" in the logs. So I'm curious if that's just a typo on the datasheet or if AES is really used. (Or is AES used just for encrypting the tunnel traffic?)

    best regards,
    Josef
  • 0
    The Data channel uses AES256. The Control channel uses RC4-SHA.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML