From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 16 Mar 2020 07:44:48 +0000 (+0300)
Subject: Отключение переаутентификации в strongSwan
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=c4221054cd798c35cb16fe005dbfd3b3734a2e5d;p=stargrave-blog.git

Отключение переаутентификации в strongSwan

В IKEv1 протоколе есть штатная поддержка переаутентификации в пределах
текущей сессии. В IKEv2 нету -- RFC предлагает просто создавать
параллельно ещё одну IKE SA. На практике, при использовании PSK или
X.509 сертификатов с приватными ключами на диске, я не знаю как можно
скомпрометировать SA, но не скомпрометировать аутентификационные данные.
Поэтому отключение reauth не представляет, как я это вижу, рисков (если
речь не про смарт-карты, PKCS#11, и т.д.), а плюсом является то, что у
меня вот уже длительное время нет ни одного лишнего IKE SA, которые
часто бывают плодятся.
---