我正在使用 pfSense 2.0 并配置了 IPsec VPN(使用 Raccoon IPsec 守护程序)。
我正在使用我的 iPhone(iOS 5)连接到 VPN。
但是,iPhone不允许保存XAuth用户名和密码。
删除 XAuth 身份验证(即空白密码)并仅使用 RSA 证书身份验证有多安全?
答案1
抱歉,这并没有回答您的问题“有多安全...”,但这可能会避开您的问题。您是否尝试过 xauth_psk_server 并将“save_passwd on;”放入 racoon.conf 的 mode_cfg 部分?
这使得我的旧 iPod(版本 4.2.1)可以缓存 XAuth 用户名和密码。这是我的 racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";
listen {
adminsock disabled;
}
remote anonymous {
exchange_mode aggressive;
my_identifier address;
proposal_check strict;
generate_policy on;
nat_traversal on;
dpd_delay 20;
ike_frag on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
# pre_shared_key
# rsasig (for plain RSA authentication)
# gssapi_krb
# hybrid_rsa_server hybrid_rsa_client
# xauth_rsa_server xauth_rsa_client
# xauth_psk_server xauth_psk_client
dh_group modp1024;
}
}
mode_cfg {
network4 10.99.99.2;
pool_size 253;
netmask4 255.255.255.0;
auth_source pam;
# dns4 10.99.99.1;
# wins4 10.0.12.1;
banner "/etc/racoon/motd";
pfs_group 2;
# Allow client to cache password:
save_passwd on;
split_dns "ad5ey.net";
split_network include 10.99.99.0/24;
}
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
使用我的 iPod(和 MacBook),我选择“Cisco IPSec”作为 VPN 类型,然后为您的 psk.txt 创建组名和共享密钥。
# Example psk.txt
coolgroup bigsecret
现在的问题是,使用共享组密钥的 xauth_psk 有多安全?(这对于公司环境来说可能不安全,因为其他员工可能会回收组共享密钥,将 vpn 服务器欺骗给其他员工,然后嗅探用户名和密码……(runonsentencefun)但当我不与任何人共享我的组时,这对我的 iPod 来说已经足够了。)
答案2
XAuth 是额外的(即第二轮)身份验证。通常是由仅限一侧如果双方事先通过证书进行身份验证(两者意味着:服务器证书和客户端证书),则根本不需要额外的 XAuth。
XAuth 是通常像 HTTPS 网站通常使用的方式是:客户端通常通过证书对网络服务器进行身份验证,服务器通过用户名/密码识别您。即第一轮是证书(来自一方),第二轮是用户名/密码(来自另一方)。
您是否曾在浏览器中使用过客户端证书?如果使用过,为什么您仍然需要在网站上输入密码? – 可能是因为该特定网站的框架尚未适应客户端证书。 – IPsec 客户端也是如此:它们真的可以在没有 XAuth 的情况下运行吗?
但无论如何:它安全吗?是的。——除非你认为 2 个避孕套比 1 个好。