[О блоге]
[наверх]
[пред]
[2020-03-16 10:44:48+03:00]
[c4221054cd798c35cb16fe005dbfd3b3734a2e5d]
Темы: [ipsec][tip]
Отключение переаутентификации в strongSwan
В IKEv1 протоколе есть штатная поддержка переаутентификации в пределах
текущей сессии. В IKEv2 нету -- RFC предлагает просто создавать
параллельно ещё одну IKE SA. На практике, при использовании PSK или
X.509 сертификатов с приватными ключами на диске, я не знаю как можно
скомпрометировать SA, но не скомпрометировать аутентификационные данные.
Поэтому отключение reauth не представляет, как я это вижу, рисков (если
речь не про смарт-карты, PKCS#11, и т.д.), а плюсом является то, что у
меня вот уже длительное время нет ни одного лишнего IKE SA, которые
часто бывают плодятся.
[оставить комментарий]