我必须在我们的一个 ASA 上的 IPsec 规则中禁用 PFS,以允许 Android Gingerbread 客户端进行连接。这样做会危及 VPN 的安全性吗?通信采用 AES-256 或 AES-128 以及组密码。根据我的研究,似乎有些人认为 PFS 值得怀疑,说实话,我之前从未真正注意到这一点,所以我不知道该怎么做。
ETA:由于这显然是相关的,所以有问题的 ASA 仅用于远程访问,而不是局域网到局域网。
答案1
这在一定程度上取决于您如何配置 VPN。如果您使用的是预共享密钥,那么 PFS 无论如何都做不了什么。如果您使用的是证书,捕获会话初始化并且设备的密钥被泄露(例如手机被盗,这两者都很容易),那么在 ASA 上计算密钥就容易得多(这使得能够捕获任何 VPN 会话的人更容易解密会话)。
无论如何,破解密钥和窃听 VPN 连接的能力仍然需要大量的计算时间。