使用 RSA 但没有 XAuth 用户名/密码的 IPsec 有多安全?

使用 RSA 但没有 XAuth 用户名/密码的 IPsec 有多安全?

我正在使用 pfSense 2.0 并配置了 IPsec VPN(使用 Raccoon IPsec 守护程序)。

我正在使用我的 iPhone(iOS 5)连接到 VPN。

但是,iPhone不允许保存XAuth用户名和密码。

删除 XAuth 身份验证(即空白密码)并仅使用 RSA 证书身份验证有多安全?

答案1

抱歉,这并没有回答您的问题“有多安全...”,但这可能会避开您的问题。您是否尝试过 xauth_psk_server 并将“save_passwd on;”放入 racoon.conf 的 mode_cfg 部分?

这使得我的旧 iPod(版本 4.2.1)可以缓存 XAuth 用户名和密码。这是我的 racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

listen {
    adminsock disabled;
}

remote anonymous {
    exchange_mode aggressive;
    my_identifier address;
    proposal_check strict;
    generate_policy on;
    nat_traversal on;
    dpd_delay 20;
    ike_frag on;
    proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method xauth_psk_server;
        # pre_shared_key
        # rsasig (for plain RSA authentication)
        # gssapi_krb
        # hybrid_rsa_server hybrid_rsa_client
        # xauth_rsa_server xauth_rsa_client
        # xauth_psk_server xauth_psk_client
        dh_group modp1024;
    }
}

mode_cfg {
    network4 10.99.99.2;
    pool_size 253;
    netmask4 255.255.255.0;
    auth_source pam;
    # dns4 10.99.99.1;
    # wins4 10.0.12.1;
    banner "/etc/racoon/motd";
    pfs_group 2;
    # Allow client to cache password:
    save_passwd on;
    split_dns "ad5ey.net";
    split_network include 10.99.99.0/24;
}

sainfo anonymous {
    pfs_group 2;
    lifetime time 1 hour;
    encryption_algorithm aes;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

使用我的 iPod(和 MacBook),我选择“Cisco IPSec”作为 VPN 类型,然后为您的 psk.txt 创建组名和共享密钥。

# Example psk.txt
coolgroup   bigsecret

现在的问题是,使用共享组密钥的 xauth_psk 有多安全?(这对于公司环境来说可能不安全,因为其他员工可能会回收组共享密钥,将 vpn 服务器欺骗给其他员工,然后嗅探用户名和密码……(runonsentencefun)但当我不与任何人共享我的组时,这对我的 iPod 来说已经足够了。)

答案2

XAuth 是额外的(即第二轮)身份验证。通常是由仅限一侧如果双方事先通过证书进行身份验证(两者意味着:服务器证书和客户端证书),则根本不需要额外的 XAuth。

XAuth 是通常像 HTTPS 网站通常使用的方式是:客户端通常通过证书对网络服务器进行身份验证,服务器通过用户名/密码识别您。即第一轮是证书(来自一方),第二轮是用户名/密码(来自另一方)。

您是否曾在浏览器中使用过客户端证书?如果使用过,为什么您仍然需要在网站上输入密码? – 可能是因为该特定网站的框架尚未适应客户端证书。 – IPsec 客户端也是如此:它们真的可以在没有 XAuth 的情况下运行吗?

但无论如何:它安全吗?是的。——除非你认为 2 个避孕套比 1 个好。

相关内容