LINUX.ORG.RU

IPSEC & Certificates


0

1

Вот к примеру возьмём site-to-site IPSEC VPN построенный на двух VPN роутерах (не важно каких). На обоих роутерах есть некий одинаковый CA сертификат и индивидуальные сертификаты роутеров. Поднимаем VPN. (И ведь поднимается!). Но тут у меня возникает вопрос. Если взять третий роутер (на котором есть тот же CA сертификат и свой индивидуальный сертификат), то на сколько я понимаю, если поставить его вместо второго роутера, настроив его так же как второй роутер, то даже если у нас нет ключей (в частности приватного ключа) со второго роутера, первый роутер всё равно подключится к третьему. В итоге первый роутер подключен совсем не туда куда надо, как этого избежать? При использовании PSK такой вопрос не встаёт, т.к. левому роутеру не будет известен PSK отключенного второго роутера и подмену так просто уже не произвести. Это так или я чего-то недогоняю? Как в IPSEC производится взаимная авторизация роутеров? Есть стандартный метод или это вендор-специфично?

★★★★★

Стандартный метод, называется X.509 PKI :) Первый роутер доверяет CA, что тот не выдаст третьему роутеру сертификат на тот же адрес (Common Name), что и у второго роутера.

По вкусу можно еще отпечатки сертификатов проверять, если не доверяешь CA, тогда все сведется к схеме PSK.

Deleted ()
Ответ на: комментарий от Deleted

Спасибо за ликбез. Нашел на своих железках опцию Peer ID, по документации нифига понять не могу но похоже это поле содержит в виде строки через зпт все поля X.509 и опционально может задаваться для парного роутера. Надо бы протестить, да не на чем блин сейчас. А вообще это нормально или нет, что CN/Peer ID задаётся опционально а не обязательно? Без него ведь как-то странно секурность выглядит...

af5 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.