IPsec 的設定漏洞能導致資料洩露IP Security (IPsec) 是由 Internet Engineering Task Force (IETF) 所開發的協定,為了支援在 IP 層級安全交換封包。IPsec 已廣泛地應用在虛擬私人網絡 (VPNs) 的運作。
三種針對 IPsec 某些設定漏洞的攻擊已被證實。這些設定包括在隧道模式下使用安全封裝運載 (ESP),但是只保護機密性,或由較高層級協定來提供完整性的保護。某些設定使用 AH 來保護完整性也受影響。在這些設定環境下,攻擊者可以修改 IPsec 封包的會話,令到封包內裡的純文字重新導向或網絡上的主機產生錯誤訊息。在後者的情況下,錯誤訊息會經 ICMP 傳送;由於 ICMP 設計上的特性,這些訊息會以純文字方式直接顯示標頭部份和資料包的內容。若攻擊者能截取這些 ICMP 訊息,便可獲取訊息內的純文字內容。這些攻擊已經在真實的環境下進行測試並證實是可行的。
影響
一個未經授權的遠端攻擊者,可以在安全閘道之間截取和修改 IPsec (和在某些情況下的 ICMP) 通訊 ,可能將 IPsec 通訊內容還原成純文字。
受影響之系統
若 IPsec 設定是在隧道模式下使用安全封裝運載 (ESP),但是只保護機密性,或由較高層級協定來提供完整性的保護。某些設定使用 AH 來保護完整性也受影響。
解決方案
以下的方法都可以糾正以上的問題:
1. 建議將 ESP 設定同時採用機密性和完整性的保護 。
2. 利用 AH 和 ESP 協定來提供機密性的保護。但是,在執行時要非常小心:例如:在輸送模式下,AH 是使用點對點的設定,在隧道內的 ESP 是仍然受漏洞影響。
3. 禁止產生 ICMP 訊息或在防火牆或安全閘道過濾這些訊息來清除錯誤報告。
相關連結
http://www.niscc.gov.uk/niscc/docs/...86.html?lang=en http://www.kb.cert.or...d/302220
