klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?

Tags: cisco, juniper, безопасность, интернетное, криптография, сети, трудовыебудни
Subscribe

  • Не нарушив не проедешь

    Еду по МКАДу. Мне надо направо, по указателю "Медведково, Центр". Подъезжаю ближе, только тогда замечаю, что съезд закрыт. Ну ладно,…

  • Кегля

    Еду себе спокойно, скорость не превышаю, не лихачу, никого не трогаю. И тут из темноты на дорогу внезапно вываливается вот это (видео 12 секунд).…

  • Злые часики или радиация у вас дома

    ... На старой советской военной технике (до 1970х годов выпуска примерно) частенько устанавливались приборы с нанесением так называемой…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments