Quali sono i rischi associati alla dipendenza da IPSec IP Filtering?

Question

Quali sono i rischi associati alla dipendenza da IPSec IP Filtering?

#1 da (1 voti)
#2 da (1 voti)

5

Quando si utilizza Windows IPSec per il filtraggio IP ogni volta che viene aggiunto un filtro è necessario avere una regola "mirror" (spuntando la casella "Mirrored. Match packets ...").

Poiché il filtro IPSec non è stato, se non si dispone di questa opzione abilitata, non è possibile comunicare in entrambe le direzioni. Da questo articolo , cito:

If you don't mirror your rules, then you can't communicate in both directions. IPsec is not "stateful" in the way that Firewall is - if you have a rule from A to B without the B to A component, then IPsec on A will drop all traffic from B, even if it is the response to request sent by A. That's part of what makes IPsec so difficult to effectively use as a firewall.

Se ho una regola che dice:

Allow inbound connections to my IP address to port 5666 from any port on remote host 172.16.3.200

Quale sarebbe implementato come:

netsh ipsec static add filter filterlist="NAGIOS NSClient" 
      srcaddr=172.16.3.200 srcport=0 
      dstaddr=ME dstport=5666 
      mirrored=yes 
      description="Inbound" 
      protocol=TCP

La regola "mirror" sarebbe:

Allow outbound connections from my IP address from port 5666 to any port on the remote host 172.16.3.200

Quali sono i rischi per la sicurezza di una tale configurazione in relazione al traffico indesiderato?

windows network firewalls ipsec

posta Kev 18.05.2011 - 01:03

fonte

2 risposte

Leggi altre domande sui tag windows network firewalls ipsec

Costruire un laboratorio per le informazioni su VM - sicuro per mantenere la mia rete domestica? Clark Wilson Integrity Model: Rules

score 1 · Answer 1

A seconda del servizio, la porta in uscita è solitamente diversa dalla porta in ingresso e viene spesso assegnata in modo casuale. Quindi il mirror sarebbe da qualsiasi porta su localhost a 5666 sull'host remoto. Il rischio dipende dalla modalità IPSec: trasporto o tunneling. Direi che la minaccia più probabile sarebbe sulla disponibilità. In mone di trasporto l'IP di destinazione e la porta sono in chiaro, quindi un avversario potrebbe tentare di inondare la porta di destinazione.

score 1 · Answer 2

Non ho familiarità con Windows, ma in generale queste regole SA IPsec sono completamente separate dal firewall. Sono pensati per associare alcune informazioni specifiche IPsec come la chiave di sessione con il flusso di pacchetti (stateless), in modo che il gateway sappia che si suppone che decifri un particolare pacchetto ESP e come. Se desideri bloccare il traffico "indesiderato", utilizza il firewall sopra.

Il "rischio" principale riguarda l'uso di informazioni di protocollo di livello superiore come le porte TCP. I pacchetti possono essere frammentati, quindi IPsec non è in grado di identificare a quale pacchetto appartiene un SA. Questo è discusso in RFC4301. Poiché la frammentazione della rotta è generalmente sconsigliata e rimossa da IPv6, suppongo che la soluzione migliore sia semplicemente eliminare tutti i frammenti o non utilizzare le informazioni sulla porta TCP / UDP.