Что: c4221054cd798c35cb16fe005dbfd3b3734a2e5d
Когда: 2020-03-16 10:44:48+03:00
------------------------------------------------------------------------
Темы: ipsec tip
------------------------------------------------------------------------
Отключение переаутентификации в strongSwan

В IKEv1 протоколе есть штатная поддержка переаутентификации в пределах
текущей сессии. В IKEv2 нету -- RFC предлагает просто создавать
параллельно ещё одну IKE SA. На практике, при использовании PSK или
X.509 сертификатов с приватными ключами на диске, я не знаю как можно
скомпрометировать SA, но не скомпрометировать аутентификационные данные.
Поэтому отключение reauth не представляет, как я это вижу, рисков (если
речь не про смарт-карты, PKCS#11, и т.д.), а плюсом является то, что у
меня вот уже длительное время нет ни одного лишнего IKE SA, которые
часто бывают плодятся.

------------------------------------------------------------------------
оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9E%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BF%D0%B5%D1%80%D0%B5%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8%20%D0%B2%20strongSwan%20%28c4221054cd798c35cb16fe005dbfd3b3734a2e5d%29

------------------------------------------------------------------------
Сгенерирован: SGBlog 0.34.0