Cisco-Asa

關閉完美前向保密是安全威脅嗎?

  • July 29, 2011

我不得不在我們的一個 ASA 上的 IPsec 規則中禁用 PFS,以允許 Android Gingerbread 客戶端進行連接。這樣做會損害 VPN 的安全性嗎?通信採用 AES-256 或 AES-128 組密碼。從我的研究來看,PFS 似乎被一些人認為是有問題的,而且說實話我以前從未真正注意到它,所以我只是不知道該怎麼做。

ETA:因為這顯然是相關的,所以有問題的 ASA 僅用於遠端訪問,沒有 lan-to-lan。

這在一定程度上取決於您如何配置 VPN。如果您使用的是預共享密鑰,那麼 PFS 無論如何都不會做太多事情。如果您正在使用證書,擷取會話初始化並且設備的密鑰被洩露(例如手機被盜,這兩者都變得微不足道),那麼在 ASA 上計算密鑰要容易得多(讓某人更容易誰可以擷取任何 VPN 會話來解密會話)。

無論如何,破解密鑰和竊聽 VPN 連接的能力仍然需要大量的計算時間。

引用自:https://serverfault.com/questions/295342