Quão seguro é o IPsec com RSA, mas sem o nome de usuário / senhas XAuth?

3

Estou usando o pfSense 2.0 e tenho uma VPN IPsec configurada (que usa o daemon IPsec Raccoon).

Estou conectando-me à VPN usando meu iPhone (iOS 5).

No entanto, o iPhone não permite salvar o nome de usuário e as senhas do XAuth.

Qual é a segurança para remover a autenticação XAuth (ou seja, senha em branco) e usar somente autenticação de certificado RSA?

    
por SofaKng 02.01.2012 / 19:25

2 respostas

1

Desculpe, isso não está respondendo à sua pergunta "quão seguro ...", mas isso pode atrapalhar seu problema. Você já tentou xauth_psk_server e colocando "save_passwd on"; na sua seção mode_cfg do racoon.conf?

Isso permite que meu iPod antigo (Versão 4.2.1) armazene em cache um nome de usuário & senha. Aqui está o meu racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

listen {
    adminsock disabled;
}

remote anonymous {
    exchange_mode aggressive;
    my_identifier address;
    proposal_check strict;
    generate_policy on;
    nat_traversal on;
    dpd_delay 20;
    ike_frag on;
    proposal {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method xauth_psk_server;
        # pre_shared_key
        # rsasig (for plain RSA authentication)
        # gssapi_krb
        # hybrid_rsa_server hybrid_rsa_client
        # xauth_rsa_server xauth_rsa_client
        # xauth_psk_server xauth_psk_client
        dh_group modp1024;
    }
}

mode_cfg {
    network4 10.99.99.2;
    pool_size 253;
    netmask4 255.255.255.0;
    auth_source pam;
    # dns4 10.99.99.1;
    # wins4 10.0.12.1;
    banner "/etc/racoon/motd";
    pfs_group 2;
    # Allow client to cache password:
    save_passwd on;
    split_dns "ad5ey.net";
    split_network include 10.99.99.0/24;
}

sainfo anonymous {
    pfs_group 2;
    lifetime time 1 hour;
    encryption_algorithm aes;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

Com o meu iPod (e meu MacBook), seleciono "Cisco IPSec" para o tipo de VPN e, em seguida, invento um nome de grupo e um segredo compartilhado para o seu psk.txt.

# Example psk.txt
coolgroup   bigsecret

Agora a pergunta é: Quão seguro é o xauth_psk com um segredo de grupo compartilhado? (Isso pode não ser seguro para um ambiente corporativo, porque outros funcionários podem reciclar o segredo compartilhado do grupo para falsificar o servidor vpn para outros funcionários e depois farejar nomes de usuários e senhas ... (runonsentencefun), mas é bom o suficiente para o meu iPod quando eu não compartilhe meu grupo com ninguém.)

    
por 13.04.2012 / 06:09
0

XAuth é uma rodada de autenticação adicional (ou seja, uma segunda). Geralmente é username / password dada por apenas um lado . Se ambos os lados autenticarem antecipadamente por meio de certificados (ambos significam: certificado do servidor e certificado do cliente), nenhum XAuth adicional é necessário.

Geralmente, o XAuth é usado como os sites HTTPS: o cliente geralmente autentica o servidor da web por meio de certificados e o servidor o reconhece por meio do nome de usuário / senha. Ou seja a primeira rodada é certificado (de um lado) e o segundo nome de usuário / senha do outro lado.

Você já usou certificados de cliente com o seu navegador? Se você tem, por que você ainda precisa digitar uma senha em sites? - Talvez porque a estrutura desse site específico ainda não esteja adaptada aos certificados dos clientes. - O mesmo acontece com clientes IPsec: eles podem realmente fazer sem XAuth ??

Mas de qualquer forma: é seguro? Sim. - A menos que você acredite que 2 preservativos é melhor que 1.

    
por 19.01.2016 / 12:37