Я просматривал параметры VPN на своем Moto X с 4.4, пытаясь решить, что настроить, чтобы иметь возможность добраться до дома (дом — это сервер Ubuntu за NAT).
Я понимаю большинство вариантов, но не могу найти никакой информации о том, что такое IPSec Hybrid RSA или как он сравнивается с IPSec Xauth RSA (который я сейчас планирую использовать). Кто-нибудь может пролить свет на это?
В обычной схеме проверки подлинности XAuth/RSA и клиент, и сервер проходят взаимную проверку подлинности с использованием сертификатов RSA во время фазы 1 протокола обмена ключами в Интернете ( IKEv1 ), который используется для согласования подключений IPsec. На втором этапе аутентификации клиент аутентифицирует себя с помощью XAuth (например, с помощью имени пользователя/пароля, но могут быть и другие учетные данные), который описан в draft-ieft-ipsec-isakmp-xauth и расширении поверх IKEv1/ISAKMP (часто называется этапом 1.5 вместе с Mode Config между основным/агрессивным режимом и этапом 2, быстрым режимом).
С гибридной схемой XAuth/RSA , которая описана в draft-ietf-ipsec-isakmp-hybrid-auth , клиент не выполняет аутентификацию на этапе 1 согласования. Только сервер делает это на этом этапе, позволяя клиенту убедиться, что он разговаривает с правильным VPN-сервером, когда он продолжает аутентифицировать себя с помощью XAuth. Это упрощает развертывание, так как не требуются клиентские сертификаты/ключи. И по сравнению с широко используемой схемой XAuth/PSK предотвращает атаки «человек посередине» , которые возможны благодаря общеизвестному предварительному общему секрету (по крайней мере, в более крупных развертываниях).