IPsec Modalità di trasporto NAT Traversal Rischi per la sicurezza

3

Le FAQ strongSwan indicano:

NAT-Traversal with IPsec transport mode has some inherent security risks.

Che tipo di rischi per la sicurezza si riferisce alla documentazione?

(anche i link ad altre risorse sono ben accetti)

    
posta Jens Moser 14.07.2018 - 18:29
fonte

1 risposta

0

Penso che la risposta si riferisca al Conflitto della modalità di trasporto , che è descritto nella sezione 5.2 di RFC 3948 . Se due client dietro lo stesso dispositivo stesso NAT si connettono allo stesso server utilizzando la modalità di trasporto, ciò potrebbe causare criteri IPsec duplicati (ad esempio tra l'IP pubblico del dispositivo NAT e l'IP del server) . Ciò significa che il server può solo essere in grado di inviare traffico a uno dei client (di solito quello che è stato connesso per ultimo). Se i selettori di traffico includono porte e protocolli, questo problema potrebbe essere evitato (a meno che non siano in conflitto) e in alcuni casi è possibile aggirare il problema (ad es. Usando strongSwan's plug-in connmark ).

Il termine "rischio intrinseco per la sicurezza" potrebbe essere un po 'duro (notare che l'ho cambiato nella pagina delle FAQ nel frattempo), motivo per cui le versioni più recenti di strongSwan supportano NAT-T con la modalità di trasporto. Sebbene gli utenti dovrebbero essere consapevoli dei potenziali avvertimenti. Lo scenario ikev2 / host2host-transport-nat nella suite di test di regressione di strongSwan illustra due possibili problemi che potrebbero sorgere quando si utilizza la modalità di trasporto su NAT.

Tuttavia, gli sviluppatori del progetto FreeS / WAN, su cui originariamente erano basate le versioni di strongSwan prima della 5.0.0, avevano opinioni molto rigide su NAT Traversal con la modalità di trasporto, motivo per cui doveva essere specificamente abilitato con una configurazione opzione (cioè il codice non è stato nemmeno compilato in), che è ciò che il resto della risposta nelle FAQ spiega (se l'opzione non è stata abilitata, il messaggio di errore ha espresso chiaramente la sua opinione: "NAT-Traversal: modalità di trasporto disabilitata a causa per problemi di sicurezza ").

A proposito, la risposta alla domanda delle FAQ è basata su una citazione di un'email di Andreas Steffen (fondatore del progetto strongSwan) del 2009, che, sfortunatamente, non è più disponibile negli archivi della mailing list. Ma guardando le vecchie versioni della risposta nella cronologia della pagina delle FAQ fa point a questa origine .

Per completezza, c'è un problema simile con Tunnel Mode su NATs (descritto in sezione 5.1 di RFC 3948 ) se due client dietro diversi dispositivi NAT con lo stesso indirizzo IP privato si connettono allo stesso server. Tuttavia, questo può essere facilmente evitato da assegnando IP virtuali ai client (che è ciò che di solito viene fatto in roadwarrior scenari).

    
risposta data 17.07.2018 - 11:54
fonte

Leggi altre domande sui tag