Насколько безопасен IPsec с RSA, но без имени пользователя и паролей XAuth?

Я использую pfSense 2.0 и настроил IPsec VPN (который использует демон Raccoon IPsec).

Я подключаюсь к VPN через мой iPhone (iOS 5).

Однако iPhone не позволяет сохранять имя пользователя и пароли XAuth.

Насколько безопасно удалять аутентификацию XAuth (т.е. пустой пароль) и использовать только аутентификацию сертификата RSA?

2 ответа

Извините, это не ответ на ваш вопрос "насколько безопасно...", но это может обойти вашу проблему. Вы пробовали xauth_psk_server и включили "save_passwd;" в ваш раздел mode_cfg файла racoon.conf?

Это позволило моему старому iPod (версия 4.2.1) кэшировать имя пользователя и пароль XAuth. Вот мой racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

listen {
    adminsock disabled;
}

remote anonymous {
    exchange_mode aggressive;
    my_identifier address;
    proposal_check strict;
    generate_policy on;
    nat_traversal on;
    dpd_delay 20;
    ike_frag on;
    proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method xauth_psk_server;
        # pre_shared_key
        # rsasig (for plain RSA authentication)
        # gssapi_krb
        # hybrid_rsa_server hybrid_rsa_client
        # xauth_rsa_server xauth_rsa_client
        # xauth_psk_server xauth_psk_client
        dh_group modp1024;
    }
}

mode_cfg {
    network4 10.99.99.2;
    pool_size 253;
    netmask4 255.255.255.0;
    auth_source pam;
    # dns4 10.99.99.1;
    # wins4 10.0.12.1;
    banner "/etc/racoon/motd";
    pfs_group 2;
    # Allow client to cache password:
    save_passwd on;
    split_dns "ad5ey.net";
    split_network include 10.99.99.0/24;
}

sainfo anonymous {
    pfs_group 2;
    lifetime time 1 hour;
    encryption_algorithm aes;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

На моем iPod (и моем MacBook) я выбираю "Cisco IPSec" для типа VPN, а затем придумываю имя группы и общий секретный ключ для вашего psk.txt.

# Example psk.txt
coolgroup   bigsecret

Теперь возникает вопрос: насколько безопасен xauth_psk с общим секретным ключом группы? (Это может быть небезопасно для корпоративной среды, поскольку другие сотрудники могут перерабатывать общий секретный ключ группы, чтобы подделать сервер vpn другим сотрудникам, а затем перехватывать имена пользователей и пароли... (runonsentencefun), но для моего iPod этого вполне достаточно, когда я не делись моей группой ни с кем.)

XAuth - это дополнительный (т.е. второй) раунд аутентификации. Обычно это имя пользователя / пароль, предоставляемые только одной стороной. Если обе стороны проходят аутентификацию заранее с помощью сертификатов (оба означают: сертификат сервера и сертификат клиента), дополнительный XAuth вообще не требуется.

XAuth обычно используется как веб-сайты HTTPS: клиент обычно аутентифицирует веб-сервер с помощью сертификатов, а сервер распознает вас по имени пользователя / паролю. Т.е. первый раунд - это сертификат (с одной стороны), а второй раунд - имя пользователя / пароль с другой стороны.

Вы когда-нибудь использовали клиентские сертификаты с вашим браузером? Если у вас есть, зачем вам нужно вводить пароль на веб-сайтах? - Может быть, потому что структура этого конкретного веб-сайта еще не адаптирована для клиентских сертификатов. - То же самое верно для клиентов IPsec: могут ли они на самом деле обойтись без XAuth?

Но в любом случае: это безопасно? Да. - Если вы не верите, что 2 презерватива лучше, чем 1.

Другие вопросы по тегам