我正在使用pfSense 2.0并configuration了一个IPsec VPN(使用Raccoon IPsec守护进程)。
我使用iPhone(iOS 5)连接到VPN。
但是,iPhone不允许保存XAuth用户名和密码。
删除XAuth身份validation(即空白密码)有多安全,只能使用RSA证书身份validation?
对不起,这不是回答你的问题,“有多安全……”,但这可能会使你的问题侧身。 你有没有尝试xauth_psk_server并把“save_passwd上;” 到racoon.conf的mode_cfg部分?
这让我的旧iPod(版本4.2.1)caching一个XAuth用户名和密码。 这是我的racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt"; listen { adminsock disabled; } remote anonymous { exchange_mode aggressive; my_identifier address; proposal_check strict; generate_policy on; nat_traversal on; dpd_delay 20; ike_frag on; proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method xauth_psk_server; # pre_shared_key # rsasig (for plain RSA authentication) # gssapi_krb # hybrid_rsa_server hybrid_rsa_client # xauth_rsa_server xauth_rsa_client # xauth_psk_server xauth_psk_client dh_group modp1024; } } mode_cfg { network4 10.99.99.2; pool_size 253; netmask4 255.255.255.0; auth_source pam; # dns4 10.99.99.1; # wins4 10.0.12.1; banner "/etc/racoon/motd"; pfs_group 2; # Allow client to cache password: save_passwd on; split_dns "ad5ey.net"; split_network include 10.99.99.0/24; } sainfo anonymous { pfs_group 2; lifetime time 1 hour; encryption_algorithm aes; authentication_algorithm hmac_sha1; compression_algorithm deflate; } 使用我的iPod(和我的MacBook),我为VPNtypesselect“Cisco IPSec”,然后为您的psk.txt创build组名和共享密钥。
# Example psk.txt coolgroup bigsecret
现在的问题是,具有共享组秘密的xauth_psk有多安全? (这对企业环境来说可能并不安全,因为其他员工可能会重复使用组共享密钥来欺骗成为其他员工的VPN服务器,然后嗅探用户名和密码…(runonsentencefun),但是当我不要和任何人分享我的团队。)
XAuth是一个额外的(即第二个)authentication轮。 通常只有一方给出的用户名/密码。 如果双方事先通过证书进行身份validation(都是指服务器证书和客户端证书),则完全不需要额外的XAuth。
XAuth 通常用于HTTPS网站,通常是:客户端通常通过证书对Web服务器进行身份validation,服务器通过用户名/密码识别您的身份。 即第一轮是从另一侧的证书(从一侧)和第二轮用户名/密码。
你有没有使用客户端证书与您的浏览器? 如果你有,为什么你仍然需要在网站上input密码? – 也许是因为该特定网站的框架尚未适应客户端证书。 – 对于IPsec客户端也是如此:他们实际上可以不使用XAuth吗?
但无论如何:这是安全的吗? 是。 – 除非你相信2个避孕套好于1个。