Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 1371 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL - ASL IPSec Best Practices

Jack1
I am curious about a best practice implementation. I configured an RSA key (2048 bit) on my first ASL server and exported it and copied it to my second server and imported it.  Therefore both servers had the same private and public keys.  VPN negotiated and established quickly.  Thinking to myself, 2 unique private keys and exchanged public keys would be better, so I did that.  I created a new private key on the 2nd server and copied the public key back to the VPN setup on the first server.  The 2nd server still had the public key of the first. Now when I try and establish the VPN it is taking a long long time to negotiate the SAs.  It is up to #173 and previous SAs are starting to renegotiate and still the vpn status is %hold.  Did I have it right the first time or is the 2nd method more secure (and if so how long will it take)?  [:S]


This thread was automatically locked due to age.
Parents
  • 0
    I don't really know what I'm doing, but ...

    I think you should keep your private keys private.
    This means a private key per machine, like you
    did with the second method.  And yes, negotiation
    can be slow, especially when using long keys; but
    in most cases one doesn't really need the security
    of a 2048 bit key.  I have gone to using a combination of 512 bit and 1024 bit keys depending on the situation and seems ok.  (At least, all the
    spies who have broken the keys have been very descrete so far.)
Reply
  • 0
    I don't really know what I'm doing, but ...

    I think you should keep your private keys private.
    This means a private key per machine, like you
    did with the second method.  And yes, negotiation
    can be slow, especially when using long keys; but
    in most cases one doesn't really need the security
    of a 2048 bit key.  I have gone to using a combination of 512 bit and 1024 bit keys depending on the situation and seems ok.  (At least, all the
    spies who have broken the keys have been very descrete so far.)
Children
No Data
Unfiltered HTML