Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.ipsec.secrets.psk.NUM.indices.NUM

Что это такое?

Это описание узла — члена SA.

Зачем это нужно?

Для включения некоторого узла в состав безопасной ассоциации (SA).

Как это настроить?

Узел безопасной ассоциации, основанной на PSK, может быть описан одним из способов:

Во всех случаях, кроме заключительного, описания узлов предполагаемой безопасной ассоциации, если они указаны, должны совпадать с параметрами leftid/rightid предполагаемого соединения (установленными явно или по умолчанию).

ВНИМАНИЕ! Реализация PSK в Cisco имеет ограничение, существенно снижающее безопасность: аутентификация по FQDN предсмотрена в ней только для отвечающей стороны (сервера). Клиент (вызывающая сторона) должен идентифицировать себя всегда по IP-адресу. Использовать такую схему рекомендуется только при глобальном статическом IP-адресе клиента — в этом случае он де-факто аутентифицируется сочетанием двух факторов (адреса и PSK), а попытки установить туннель с неизвестных адресов блокируются, в качестве дополнительной защиты, фильтрами на сервере.
Если же клиент работает с динамического адреса или из-за NAT поставщика услуг (что на сегодняшний день является наиболее частой постановкой задачи), то на сервере Cisco необходимо разрешить аутентификацию клиентов с любыми адресами (crypto isakmp ... 0.0.0.0 0.0.0.0). Это формально допустимо, однако аутентификация в этом случае становится однофакторной, и PSK может быть взломан за более или менее разумное время методом тупого подбора (bruteforcing). В данной ситуации настоятельно рекомендуется использовать SA на основе ключей RSA (с ручным переносом ключей или с сертификатами X.509), которая по существу своему является двухфакторной всегда.
Реализация IPsec в Linux допускает идентификацию по FQDN для обеих сторон. Если сервером является устройство c NSG Linux 2.x (или иная Linux-машина с OpenSWAN), то для двухфакторной аутентификации необходимо и достаточно идентифицировать клиента по FQDN и явным образом перечислить имена всех участников ассоциации в списке indices.
ПРИМЕЧАНИЕ. Список членов SA анализируется различным образом для SA, основанных на PSK и на RSA-секретах.

© Network Systems Group 2015–2024 Отдел документации