È sicuro non crittografare i pacchetti di ping?

0

Sto eseguendo una comunicazione crittografata con ping virato dopo la decrittazione e la deserializzazione è completa.

vale a dire.

dati in entrata - > diviso in pacchetti - > decrittografare - > deserializer - > messaggio o ping effettivo

messaggio o ping in uscita - > serializzatore - > encrypt - > inviare

Preferirei che il ping venisse gestito prima di ogni decifrazione e invece lo renderebbe parte del più basso livello di socket.

Quello che mi chiedo è se introduco qualche debolezza in questo modo. (Il vero strato crittografico può essere TLS o simile.)

Non vedo come la manipolazione del ping non codificato possa consentire molto, dato che la utilizzo solo per testare la vividezza della connessione e ottenere un RTT.

Sto trascurando qualcosa?

EDIT:

Solo così è chiaro - si riferisce a un protocollo server-client personalizzato per un gioco. Il "ping" qui è semplicemente un pacchetto speciale inviato periodicamente dal server al client e poi di nuovo indietro.

Questo aiuta sia il client che il server a garantire che la comunicazione sia aperta: si può implementare il controllo "se il ping non viene visualizzato entro x secondi, si supponga che la connessione sia interrotta".

    
posta Nuoji 16.08.2013 - 14:17
fonte

1 risposta

3

La tua domanda non è chiara sui particolari, quindi presumo che intendi quanto segue:

  • Hai una sorta di VPN che va avanti tra la macchina A e la macchina B, e la VPN incapsula tutto Pacchetti IP da A a B e da B a A all'interno di un tunnel crittografato che probabilmente utilizza SSL / TLS per la parte di crittografia.

  • La VPN raccoglie tutti i pacchetti , sia che si riferiscano a TCP, UDP o ICMP.

  • Ti stai chiedendo se realizzare i pacchetti Echo ICMP (aka "ping" ) outside della VPN, non protetto, aprirebbe vulnerabilità.

In queste condizioni, la risposta sembra essere "no, non apre alcuna vulnerabilità", con il seguente argomento: La protezione VPN riguarda la protezione di traffico specifico, tra A e B, contro interferenza da parte di estranei. Finché il tuo "traffico importante", quello che desideri proteggere, continua a passare attraverso la VPN, il traffico continuerà a essere protetto. Nota, però, i seguenti punti:

  • Potrebbe essere difficile configurare un software VPN per escludere esplicitamente richieste e risposte dell'eco ICMP, ma includere comunque TCP e, soprattutto, altri tipi di messaggi ICMP . Mentre il protocollo "ping" è piuttosto benigno, alcuni altri messaggi ICMP possono essere importanti per una corretta propagazione del traffico di rete. Inoltre, poiché un "ping" consiste in una richiesta e quindi una risposta, entrambe le estremità del tunnel (macchine A e B) devono essere configurate per non proteggere il pacchetto ICMP.

  • Fai un "ping" per un motivo. Se il "ping" non è protetto, può essere modificato dagli autori di attacchi, il che può influire sul motivo per cui esegui il ping. Gli aggressori potrebbero bloccare la richiesta o la risposta, simulando una macchina "inattiva" (probabilmente, se possono farlo, possono anche bloccare tutto il traffico VPN, quindi quel punto potrebbe essere abbastanza discutibile).

  • Un "ping" che esce dalla VPN verifica se la macchina sull'altro lato è attiva e funzionante, ma, per definizione, non testerà se anche il collegamento VPN è installato e funzionante. L'altra macchina potrebbe essere attiva ma il servizio VPN è inattivo, quindi il "ping" non lo dirà a te. Quindi, gestire il "ping" al di fuori della VPN non offre la stessa funzionalità di un "ping" in-VPN.

  • Analogamente, in molte configurazioni VPN, una delle macchine è in realtà una rete locale completa contenente molte macchine con indirizzi IP privati. Una richiesta "ping" che passa attraverso la VPN può essere indirizzata a una di queste macchine con IP privato. Un "ping" al di fuori della VPN può raggiungere solo macchine con un indirizzo IP non raggiungibile da Internet, cioè il gateway VPN. Anche in questo caso, la funzionalità è diversa.

Questo fa sorgere la domanda: perché vorresti un ping "non protetto"? L'unica ragione che vedo è quando la VPN sembra essere inattiva o non risponde, e vuoi sapere se il colpevole è il software VPN dall'altra parte, o la rete in mezzo.

    
risposta data 16.08.2013 - 15:01
fonte

Leggi altre domande sui tag