@begizardov16 июл 2014 в 13:47

Juniper SRX: Site-to-Site IPSec VPN с использованием pre-shared-key

7 мин

26K

Системное администрирование * Сетевые технологии *

Туториал

Комментарии 6

@amarao 16 июл 2014 в 14:07

А какой командой можно отключить бэкдор NSA в оборудовании juniper?

@begizardov 16 июл 2014 в 14:11

Он отключается только аппаратно, выдергиванием всех кабелей (в том числе питания) и помещением железки в сейф

@amarao 16 июл 2014 в 14:35

Нет, можно использовать host-to-host security с использованием программных решений. В этом случае бэкдор в juniper оказывается если не выключен, то значительно ослаблен.

Так что тезис простой: чувствительная информация не должна покидать хост незашифрованной.

@Turbid 16 июл 2014 в 14:09

а что скажите про сопряжение openswan и srx?

@begizardov 16 июл 2014 в 17:10

На выходных попробую поднять, но не обещаю. С OpenSWAN дела раньше не имел.

@eurypterid 18 июл 2014 в 11:27

я сопрягал, в целом работает. Есть проблемы с гранулярностью SA — требуется явно указать proxy-id для каждого соедиенния со стороны SRX. Поддержка нескольких proxy-id для одного соединения появилась в JunOS буквально пару месяцев назад, фича еще сырая, и все равно с динамическим роутингом все будет непросто. Пока что если за SRX находится несколько неагрегируемых сетей — лучше по старинке делать gre-over-ipsec.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий