klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?

Tags: cisco, juniper, безопасность, интернетное, криптография, сети, трудовыебудни
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments