klink0v (klink0v) wrote,
klink0v
klink0v

А есть здесь риальнэ цискари?

Вопрос к чисто конкретно риальнэ цискарям, ежели здесь таковые обитают либо вдруг пробегут мимо.

Имеется нижеследующий конфиг для Cisco 851, Version 12.3(8r)YI4, прошивка c850-advsecurityk9-mz.124-15.T12. Сразу оговорюсь, конфиг писал не я. Но мне очень интересно проанализровать его на предмет соответствия Best Practice, для науки и опыта. Чтобы понять, как делать хорошо, а как - не очень. Всю инфу приватного характера затёр или подменил.

Что лично мне "с ходу" не понравилось.


  • Diffie–Hellman group 5 (1536 бит) на сегодняшний день  - это ни о чём. Надо как минимум 14-ую.

  • Шифрование второй фазы по aes-256 выглядит несколько странно на фоне первой фазы в aes-128.

  • Указание одновременно трёх директив "ip mtu", "ip tcp adjust mss" и "tunnel path-mtu-discovery" в одной и той же секции. Я бы оставил какую-нибудь одну из них.

  • "crypto isakmp key" не привязан к какому-либо профилю, а болтается прямо внутри "isakmp policy".

  • Внутри профиля "crypto ipsec profile SuperVPN" нет отсылки к конкретному isakmp-профилю либо ключу.

В-общем, у кого есть какие мысли по этому поводу? Просветите пожалуйста, если не сильно лениво.
Tags: вопрос, сети
Subscribe

  • ОколоITшный дыбр #86

    ... Что ни день, то "открытие". Оказывается, популярные RAID-контроллеры, и даже FakeRAID-контроллеры пишут метаинформацию на жесткие…

  • Let's Encrypt vs ZeroSSL

    Про Let's Encrypt вроде бы все давно всё знают. Дернуло тут меня попробовать чего-то новенького и я обратил таки внимание на ZeroSSL. Это типа…

  • ОколоITшный дыбр #85

    ... Мне в прошлом посте указали, что USB3 может давать наводки / помехи на радиооборудование, использующее частоту 2,4 ГГц. То есть это весь…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments