Что это такое?

Это описание узла — члена SA.

Зачем это нужно?

Для включения некоторого узла в состав безопасной ассоциации (SA).

Как это настроить?

Узел безопасной ассоциации, основанной на PSK, может быть описан одним из способов:

• IP-адресом в явном виде. Этот формат неприемлем для описания устройства, если оно находится за NAT.
• Доменным именем в формате my.domain.name, которое разрешается в IP-адрес. Этот вариант не рекомендуется использовать без крайней необходимости, поскольку он вносит в механизм IPsec дополнительное звено — сервер DNS, который, в свою очередь, может оказаться недоступным или быть скомпрометирован. Он также неприемлем для устройств, размещённых за NAT.
• Полным доменным именем (Fully Qualified Domain Name, FQDN) в формате [user]@host[.domain]. Такое имя не преобразуется в IP-адрес, а используется как текстовая строка. Этот формат следует использовать, в частности, для описания устройства, которое находится на динамическом IP-адресе или за NAT.
  Поля user и .domain не обязательны и обычно не используются. Например, устройства Cisco Systems в такой конфигурации идентифицируют себя, по умолчанию, как @Router. (включая точку). В Linux-системах наличие точки в имени не обязательно.
• Ключевым словом %any, означающим любой адрес IPv4. Это значение имеет практический смысл только для того, чтобы составить список из известного идентификатора удалённой стороны и неизвестного заранее собственного IP-адреса — не очень безопасная комбинация, иногда практикуемая для подключения к серверам Cisco (см. ниже). Во всех остальных ситуациях это то же самое, что и пустой список.

Во всех случаях, кроме заключительного, описания узлов предполагаемой безопасной ассоциации, если они указаны, должны совпадать с параметрами leftid/rightid предполагаемого соединения (установленными явно или по умолчанию).

ВНИМАНИЕ! Реализация PSK в Cisco имеет ограничение, существенно снижающее безопасность: аутентификация по FQDN предсмотрена в ней только для отвечающей стороны (сервера). Клиент (вызывающая сторона) должен идентифицировать себя всегда по IP-адресу. Использовать такую схему рекомендуется только при глобальном статическом IP-адресе клиента — в этом случае он де-факто аутентифицируется сочетанием двух факторов (адреса и PSK), а попытки установить туннель с неизвестных адресов блокируются, в качестве дополнительной защиты, фильтрами на сервере.
Если же клиент работает с динамического адреса или из-за NAT поставщика услуг (что на сегодняшний день является наиболее частой постановкой задачи), то на сервере Cisco необходимо разрешить аутентификацию клиентов с любыми адресами (crypto isakmp ... 0.0.0.0 0.0.0.0). Это формально допустимо, однако аутентификация в этом случае становится однофакторной, и PSK может быть взломан за более или менее разумное время методом тупого подбора (bruteforcing). В данной ситуации настоятельно рекомендуется использовать SA на основе ключей RSA (с ручным переносом ключей или с сертификатами X.509), которая по существу своему является двухфакторной всегда.
Реализация IPsec в Linux допускает идентификацию по FQDN для обеих сторон. Если сервером является устройство c NSG Linux 2.x (или иная Linux-машина с OpenSWAN), то для двухфакторной аутентификации необходимо и достаточно идентифицировать клиента по FQDN и явным образом перечислить имена всех участников ассоциации в списке indices.

ПРИМЕЧАНИЕ. Список членов SA анализируется различным образом для SA, основанных на PSK и на RSA-секретах.