Я использую pfSense 2.0 и настроил IPsec VPN (который использует демон Raccoon IPsec).
Я подключаюсь к VPN с помощью своего iPhone (iOS 5).
Однако iPhone не позволяет сохранять имя пользователя и пароли XAuth.
Насколько безопасно удалить аутентификацию XAuth (т.е. пустой пароль) и использовать только аутентификацию сертификата RSA?
Извините, это не ответ на ваш вопрос "насколько безопасно ...", но это может обойти вашу проблему. Вы пробовали xauth_psk_server и добавляли save_passwd; в ваш раздел mode_cfg файла racoon.conf?
Это позволило моему старому iPod (версия 4.2.1) кэшировать имя пользователя и пароль XAuth. Вот мой racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";
listen {
adminsock disabled;
}
remote anonymous {
exchange_mode aggressive;
my_identifier address;
proposal_check strict;
generate_policy on;
nat_traversal on;
dpd_delay 20;
ike_frag on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
# pre_shared_key
# rsasig (for plain RSA authentication)
# gssapi_krb
# hybrid_rsa_server hybrid_rsa_client
# xauth_rsa_server xauth_rsa_client
# xauth_psk_server xauth_psk_client
dh_group modp1024;
}
}
mode_cfg {
network4 10.99.99.2;
pool_size 253;
netmask4 255.255.255.0;
auth_source pam;
# dns4 10.99.99.1;
# wins4 10.0.12.1;
banner "/etc/racoon/motd";
pfs_group 2;
# Allow client to cache password:
save_passwd on;
split_dns "ad5ey.net";
split_network include 10.99.99.0/24;
}
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
На своем iPod (и моем MacBook) я выбираю «Cisco IPSec» в качестве типа VPN, а затем придумываю имя группы и общий секрет для вашего psk.txt.
# Example psk.txt
coolgroup bigsecret
Теперь вопрос в том, насколько безопасен xauth_psk с общим секретом группы? (Это может быть небезопасно для корпоративной среды, потому что другие сотрудники могут повторно использовать общий секрет группы для подмены сервера vpn другим сотрудникам, а затем обнюхивать имена пользователей и пароли ... (runonsentencefun), но этого достаточно для моего iPod, когда я не делитесь моей группой ни с кем.)
XAuth - это дополнительный (то есть второй) раунд аутентификации. Обычно это имя пользователя / пароль, предоставленный только с одной стороны. Если обе стороны проходят аутентификацию заранее с помощью сертификатов (оба средства: сертификат сервера и сертификат клиента), никакого дополнительного XAuth не требуется.
XAuth - это обычно часто используются, как и веб-сайты HTTPS: клиент обычно аутентифицирует веб-сервер с помощью сертификатов, а сервер распознает вас по имени пользователя / паролю. Т.е. первый раунд - это сертификат (с одной стороны), а второй раунд - имя пользователя / пароль с другой стороны.
Вы когда-нибудь использовали клиентские сертификаты в своем браузере? Если да, то зачем вам все еще нужно вводить пароль на веб-сайтах? - Может быть, потому, что структура этого конкретного сайта еще не адаптирована для клиентских сертификатов. - То же самое и с клиентами IPsec: могут ли они вообще обойтись без XAuth ??
Но в любом случае: это безопасно? Да. - Если вы не считаете, что 2 презерватива лучше, чем 1.