Насколько безопасен IPsec с RSA, но без имени пользователя и паролей XAuth?
Я использую pfSense 2.0 и настроил IPsec VPN (который использует демон Raccoon IPsec).
Я подключаюсь к VPN через мой iPhone (iOS 5).
Однако iPhone не позволяет сохранять имя пользователя и пароли XAuth.
Насколько безопасно удалять аутентификацию XAuth (т.е. пустой пароль) и использовать только аутентификацию сертификата RSA?
2 ответа
Извините, это не ответ на ваш вопрос "насколько безопасно...", но это может обойти вашу проблему. Вы пробовали xauth_psk_server и включили "save_passwd;" в ваш раздел mode_cfg файла racoon.conf?
Это позволило моему старому iPod (версия 4.2.1) кэшировать имя пользователя и пароль XAuth. Вот мой racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";
listen {
adminsock disabled;
}
remote anonymous {
exchange_mode aggressive;
my_identifier address;
proposal_check strict;
generate_policy on;
nat_traversal on;
dpd_delay 20;
ike_frag on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
# pre_shared_key
# rsasig (for plain RSA authentication)
# gssapi_krb
# hybrid_rsa_server hybrid_rsa_client
# xauth_rsa_server xauth_rsa_client
# xauth_psk_server xauth_psk_client
dh_group modp1024;
}
}
mode_cfg {
network4 10.99.99.2;
pool_size 253;
netmask4 255.255.255.0;
auth_source pam;
# dns4 10.99.99.1;
# wins4 10.0.12.1;
banner "/etc/racoon/motd";
pfs_group 2;
# Allow client to cache password:
save_passwd on;
split_dns "ad5ey.net";
split_network include 10.99.99.0/24;
}
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
На моем iPod (и моем MacBook) я выбираю "Cisco IPSec" для типа VPN, а затем придумываю имя группы и общий секретный ключ для вашего psk.txt.
# Example psk.txt
coolgroup bigsecret
Теперь возникает вопрос: насколько безопасен xauth_psk с общим секретным ключом группы? (Это может быть небезопасно для корпоративной среды, поскольку другие сотрудники могут перерабатывать общий секретный ключ группы, чтобы подделать сервер vpn другим сотрудникам, а затем перехватывать имена пользователей и пароли... (runonsentencefun), но для моего iPod этого вполне достаточно, когда я не делись моей группой ни с кем.)
XAuth - это дополнительный (т.е. второй) раунд аутентификации. Обычно это имя пользователя / пароль, предоставляемые только одной стороной. Если обе стороны проходят аутентификацию заранее с помощью сертификатов (оба означают: сертификат сервера и сертификат клиента), дополнительный XAuth вообще не требуется.
XAuth обычно используется как веб-сайты HTTPS: клиент обычно аутентифицирует веб-сервер с помощью сертификатов, а сервер распознает вас по имени пользователя / паролю. Т.е. первый раунд - это сертификат (с одной стороны), а второй раунд - имя пользователя / пароль с другой стороны.
Вы когда-нибудь использовали клиентские сертификаты с вашим браузером? Если у вас есть, зачем вам нужно вводить пароль на веб-сайтах? - Может быть, потому что структура этого конкретного веб-сайта еще не адаптирована для клиентских сертификатов. - То же самое верно для клиентов IPsec: могут ли они на самом деле обойтись без XAuth?
Но в любом случае: это безопасно? Да. - Если вы не верите, что 2 презерватива лучше, чем 1.