Ipsec protokollari. Ipsec qanday ishlaydi ipsec tunnel va transport rejimi
Yüklə 430,43 Kb. Pdf görüntüsü
|
|
AH, ESP va IKE ga hujumlar
IPSec komponentlariga hujumlarning barcha turlarini quyidagi guruhlarga bo‘lish mumkin: tizimning cheklangan resurslaridan foydalanadigan hujumlar (odatiy misol xizmat ko‘rsatishni rad etish, xizmat ko‘rsatishni rad etish yoki DOS hujumi), ekspluatatsiya qiluvchi hujumlar. ma'lum bir IPSec dasturining xususiyatlari va xatolari va nihoyat, AH va ESP protokollarining zaif tomonlariga asoslangan hujumlar. Sof kriptografik hujumlarni e'tiborsiz qoldirish mumkin - ikkala protokol ham barcha kriptografiya yashiringan "transformatsiya" tushunchasini belgilaydi. Agar foydalanilayotgan kriptoalgoritm barqaror bo'lsa va u bilan aniqlangan transformatsiyalar qo'shimcha zaif tomonlarni keltirib chiqarmasa (bu har doim ham shunday emas, shuning uchun butun tizimning barqarorligini ko'rib chiqish to'g'riroqdir - Protokol-Transform-Algoritm), keyin dan bu tomonda hammasi yaxshi. Nima qoldi? Takroriy hujum - ketma-ketlik raqamidan foydalanish bilan tekislanadi (yagona holatda u ishlamaydi - autentifikatsiyasiz va AHsiz ESP ishlatganda). Bundan tashqari, harakatlarni bajarish tartibi (birinchi shifrlash, keyin autentifikatsiya) "yomon" paketlarni tezda rad etishni kafolatlaydi (bundan tashqari, kriptografiya olamidagi so'nggi tadqiqotlarga ko'ra, bu harakatlarning eng xavfsiz tartibi, ba'zilarida teskari tartib). , garchi o'ta maxsus holatlar bo'lsa-da, potentsial xavfsizlik teshiklariga olib kelishi mumkin; Yaxshiyamki, na SSL, na IKE, na "birinchi navbatda autentifikatsiya qilish, ikkinchisini shifrlash" harakatlar tartibiga ega bo'lgan boshqa umumiy protokollar ushbu maxsus holatlarga taalluqli emas va shuning uchun ham shunday emas. bu teshiklar yo'q). Xizmatni rad etish hujumi davom etmoqda. Ma'lumki, bu to'liq himoyaga ega bo'lmagan hujumdir. Shunga qaramay, yomon paketlarni tezda rad etish va ularga hech qanday tashqi reaktsiyaning yo'qligi (RFC ma'lumotlariga ko'ra) ushbu hujumni ko'proq yoki kamroq engish imkonini beradi. Printsipial jihatdan ko'pchilik (agar hammasi bo'lmasa ham) ma'lum bo'lgan tarmoq hujumlariga (sniffing, spoofing, hijacking va boshqalar) AH va ESP, agar to'g'ri ishlatilsa, muvaffaqiyatli qarshilik ko'rsatadi. IKE biroz murakkabroq. Protokol juda murakkab va tahlil qilish qiyin. Bunga qo'shimcha ravishda, yozish paytida xatolar (HASH_R ni hisoblash formulasida) va to'liq muvaffaqiyatli echimlar bo'lmaganligi sababli (xuddi shu HASH_R va HASH_I), u bir nechta potentsial "teshiklarni" o'z ichiga oladi (xususan, birinchi bosqichda, barcha foydali yuklar emas. Xabarda autentifikatsiya qilingan), ammo ular unchalik jiddiy emas va koʻpi bilan ulanishni oʻrnatishdan bosh tortishga olib keladi.IKE takroriy oʻynash, aldash, hidlash, oʻgʻirlash kabi hujumlardan ozmi-koʻpmi muvaffaqiyatli himoyalangan. Kriptografiya bilan bu biroz murakkabroq - u AH va ESPda bo'lgani kabi alohida amalga oshirilmaydi, lekin protokolning o'zida amalga oshiriladi. Biroq, doimiy algoritmlar va primitivlardan (PRF) foydalanilganda, hech qanday muammo bo'lmasligi kerak. Qaysidir ma'noda, IPsec ning zaif tomoni sifatida ko'rib chiqilishi mumkin, DES joriy spetsifikatsiyalarda yagona majburiy kriptoalgoritm 21.04.2022, 12:56 IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/ 17/25 sifatida ko'rsatilgan (bu ESP va IKE uchun ham to'g'ri keladi), uning kalitining 56 biti endi etarli deb hisoblanmaydi. Shunga qaramay, bu sof rasmiy zaiflik - spetsifikatsiyalarning o'zi algoritmga bog'liq emas va deyarli barcha taniqli sotuvchilar 3DESni allaqachon amalga oshirgan (va ba'zilari allaqachon AESni amalga oshirgan) Shunday qilib, agar to'g'ri amalga oshirilsa, eng "xavfli" hujum. Xizmat ko'rsatishdan bosh tortish qoladi ... Yüklə 430,43 Kb. Dostları ilə paylaş:
|