我必须禁用我们的一个ASA上的IPsec规则中的PFS,以允许Android姜饼客户端连接。 这样做是否会危及VPN的安全? 通讯是带有组密码的AES-256或AES-128。 从我的研究来看,似乎PFS被某些人认为是有问题的,并且告诉你事实,我从来没有真正注意到它,所以我现在不知道该怎么做。
ETA:因为这显然是相关的,所以ASA只用于远程访问,没有LAN-to-LAN。
这取决于你如何configurationVPN。 如果你使用的是预共享密钥,那么PFS并没有太多的作用。 如果你正在使用证书,捕获一个会话初始化和一个设备的秘密密钥就会受到威胁(比如说一个电话被盗,这两个都是微不足道的),那么在ASA上计算密钥要容易得多谁可以捕获任何VPN会话来解密会话)。
无论如何,它仍然需要大量的计算时间才能破解VPN连接的密钥和窃听能力。