begizardov Jul 16 2014 at 17:47

Juniper SRX: Site-to-Site IPSec VPN с использованием pre-shared-key

7 min

23K

System administration*Network technologies*

Tutorial

Comments 6

amarao Jul 16 2014 at 18:07

А какой командой можно отключить бэкдор NSA в оборудовании juniper?

begizardov Jul 16 2014 at 18:11

Он отключается только аппаратно, выдергиванием всех кабелей (в том числе питания) и помещением железки в сейф

amarao Jul 16 2014 at 18:35

Нет, можно использовать host-to-host security с использованием программных решений. В этом случае бэкдор в juniper оказывается если не выключен, то значительно ослаблен.

Так что тезис простой: чувствительная информация не должна покидать хост незашифрованной.

Turbid Jul 16 2014 at 18:09

а что скажите про сопряжение openswan и srx?

begizardov Jul 16 2014 at 21:10

На выходных попробую поднять, но не обещаю. С OpenSWAN дела раньше не имел.

eurypterid Jul 18 2014 at 15:27

я сопрягал, в целом работает. Есть проблемы с гранулярностью SA — требуется явно указать proxy-id для каждого соедиенния со стороны SRX. Поддержка нескольких proxy-id для одного соединения появилась в JunOS буквально пару месяцев назад, фича еще сырая, и все равно с динамическим роутингом все будет непросто. Пока что если за SRX находится несколько неагрегируемых сетей — лучше по старинке делать gre-over-ipsec.

Show the best of all time