Насколько безопасный IPsec w/RSA, но без имени пользователя/паролей XAuth?
Существует глава по установке Подверсии на Ubuntu 10.04 в официальном Серверном руководстве. Для Trac можно, вероятно, просто установить официальный trac пакет и следовать экранным инструкциям.
Извините, это не ответ на ваш вопрос «насколько безопасно ...», но это может помочь решить вашу проблему. Вы пробовали xauth_psk_server и добавляли save_passwd; в ваш раздел mode_cfg файла racoon.conf?
Это позволяет моему старому iPod (версия 4.2.1) кэшировать имя пользователя и пароль XAuth. Вот мой racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";
listen {
adminsock disabled;
}
remote anonymous {
exchange_mode aggressive;
my_identifier address;
proposal_check strict;
generate_policy on;
nat_traversal on;
dpd_delay 20;
ike_frag on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
# pre_shared_key
# rsasig (for plain RSA authentication)
# gssapi_krb
# hybrid_rsa_server hybrid_rsa_client
# xauth_rsa_server xauth_rsa_client
# xauth_psk_server xauth_psk_client
dh_group modp1024;
}
}
mode_cfg {
network4 10.99.99.2;
pool_size 253;
netmask4 255.255.255.0;
auth_source pam;
# dns4 10.99.99.1;
# wins4 10.0.12.1;
banner "/etc/racoon/motd";
pfs_group 2;
# Allow client to cache password:
save_passwd on;
split_dns "ad5ey.net";
split_network include 10.99.99.0/24;
}
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
На моем iPod (и моем MacBook) я выбираю «Cisco IPSec» в качестве типа VPN, а затем придумываю имя группы и общий секрет для вашего psk.txt.
# Example psk.txt
coolgroup bigsecret
Теперь вопрос в том, насколько безопасен xauth_psk с общим секретом группы? (Это может быть небезопасно для корпоративной среды, потому что другие сотрудники могут повторно использовать общий секрет группы, чтобы подделать сервер vpn другим сотрудникам, а затем обнюхать имена пользователей и пароли ... (runonsentencefun), но этого достаточно для моего iPod, когда я не делитесь моей группой ни с кем.)
XAuth - это дополнительный (т. Е. Второй) раунд аутентификации. Обычно это имя пользователя / пароль, заданные только одной стороной . Если обе стороны аутентифицируются заранее с помощью сертификатов (оба средства: сертификат сервера и сертификат клиента), никакого дополнительного XAuth не требуется вообще.
XAuth обычно часто используется как HTTPS-сайты: клиент обычно аутентифицирует веб-сервер через сертификаты, и сервер распознает вас по имени пользователя / паролю. Т.е. первый этап - это сертификат (с одной стороны), а второй этап - имя пользователя / пароль - с другой стороны.
Вы когда-нибудь использовали клиентские сертификаты в своем браузере ?? Если да, зачем вам все еще нужно вводить пароль на веб-сайтах? - Может быть, потому, что структура этого конкретного сайта еще не адаптирована для клиентских сертификатов. - То же самое и с клиентами IPsec: могут ли они обойтись без XAuth ??
Но в любом случае: безопасно ли это? Да. - Если вы не считаете, что 2 презерватива лучше, чем 1.