Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.2. 使用 Libreswan 创建 VPN 配置

因为 IKE/IPsec 对等协议,因此 Libreswan 不使用术语 source 和目的地或 服务器及 客户端相反,它使用左和 右侧术语来指代端点 (主机)。在大多数情况下,这也允许在两种端点上使用相同的配置,尽管许多管理员选择始终将左用于本地主机 ,而右侧是远程主机
端点验证有四种常用方法:
  • 预共享密钥 (PSK)是最简单的身份验证方法。PSK 应该由随机字符组成,长度至少为 20 个字符。在 FIPS 模式中,PSK 需要根据所使用的完整性算法满足最低强度要求。建议您不要使用小于 64 个随机字符的 PSK。
  • 原始 RSA 密钥通常用于静态主机到主机或子网到子网 IPsec 配置。主机使用彼此的公共 RSA 密钥进行手动配置。当 dozens 或更多主机都需要相互设置 IPsec 隧道时,此方法无法很好地扩展。
  • X.509 证书通常用于大型部署,其中有很多主机需要连接到通用 IPsec 网关。中央证书颁发机构(CA )用于为主机或用户签署 RSA 证书。此中央 CA 负责转发信任关系,包括单个主机或用户的吊销。
  • NULL 身份验证用于在没有身份验证的情况下获得网格加密。它可防止被动攻击,但不会防止主动攻击。但是,由于IKEv2 允许非对称身份验证方法,因此 NULL 身份验证也可用于互联网扩展 Opportunistic IPsec,其中客户端对服务器进行身份验证,但服务器不验证客户端。此模型与使用 TLS 的安全网站类似(也称为 https:// 网站)。
除了这些验证方法外,还可以添加额外的身份验证来防止量子计算机可能受到的攻击。这个额外的验证方法称为 Postquantum Preshared Keys (PPK )。单个客户端或客户端组可以通过指定 (与带外配置的 PreShared 密钥对应的PPKID )来使用自己的 PPK。请参阅 第 4.6.9 节 “使用对 Quantum Computers 的保护”