impone alcuni peer per utilizzare IPsec e consentire ad altri di ignorarlo quando raggiunge lo stesso server

0

Supponiamo che abbia un server che possiede socket UDP. Quindi, per alcuni client, questo server si aspetta di ricevere questo traffico UDP incapsulato su IPsec. Mentre per alcuni altri client (impostazione predefinita), consente loro di contattare lo stesso server in testo normale senza utilizzare alcun IPsec.

Per me sembra qualcosa di simile a "autenticazione opportunistica", perché i client che non richiedono l'autenticazione possono ancora raggiungere il socket UDP del server in modo semplice e potrebbero anche provare a spoofare il traffico in alcune circostanze in modo che sembrerebbe come se fosse venuto da un host che avrebbe dovuto comunicare su IPsec.

Quali esperti di sicurezza dicono di tali progetti di sicurezza? Esistono certificazioni (FIPS, ecc.) Che vietano tali progetti perché in realtà significa che il server sta permettendo a un utente malintenzionato di ignorare l'autenticazione IPsec e Application Layer dovrebbe decidere se il traffico è stato contraffatto o meno.

    
posta Hans Solo 24.11.2015 - 09:06
fonte

3 risposte

1

... letting attacker to bypass IPsec authentication and Application Layer would have to make decision whether traffic was spoofed or not.

UDP è un protocollo a livello di trasporto, mentre IPSec è un protocollo a livello di rete. Contrariamente ai protocolli di sicurezza di livello superiore come TLS, l'applicazione server non sarà in grado di stabilire se i dati sono stati inviati tramite IPSec o semplicemente, ma vede solo i dati dell'applicazione. Per distinguere questo è necessario disporre di diversi endpoint (indirizzo IP e / o porta) per IPSec e traffico normale.

...for some clients, this server would expect to receive this UDP traffic encapsulated over IPsec. While for some others... without using any IPsec.

Con una normale configurazione di rete dovrebbe esserci solo una singola rotta verso l'host del server, che può essere o tramite VPN (IPSec) o no. Quindi un client dovrebbe essere portato fuori dalla VPN per connettersi in modo semplice al server o il server deve avere un secondo indirizzo che non si trova nel percorso della VPN.

Questo significa che il default fa probabilmente ciò che dovrebbe fare. Ma bisogna mettere in discussione la decisione di lasciare che tutti i client si connettano di default senza crittografia. Invece, consiglierei di consentire ai client locali (stessa rete) senza crittografia, di consentire la connessione ad altri client tramite VPN e di vietare a tutti gli altri client di connettersi.

Ma penso che la tua domanda manchi di dettagli sufficienti per decidere se la configurazione è sicura o meno. Penso che sia possibile creare sia una configurazione sicura che una configurazione non sicura che corrispondono alla descrizione corrente della configurazione.

    
risposta data 25.11.2015 - 07:06
fonte
0

Il traffico in chiaro e il traffico su IPSEC sono due concetti diversi.  Secondo la mia comprensione, l'applicazione sul server dovrebbe essere in grado di ricevere traffico su una singola porta e distinguere tra testo non crittografato e testo crittografato, oppure dovrebbe esserci una diversa porta per ricevere il traffico IPSEC e quindi elaborarla.

Spero che ti aiuti.

    
risposta data 24.11.2015 - 15:41
fonte
0

Oltre ai punti menzionati sopra, un fattore importante da considerare qui riguarda la posizione del server. Se hai un router o un firewall davanti al server, possiamo avere l'IPSEC (VPN) terminato sul dispositivo che poi decrittografa il traffico e inoltra il traffico UDP / TCP al server.

Idealmente dipende da quali servizi sono ospitati e qual è la topologia della rete.

Spero che chiarisca il dubbio

    
risposta data 25.11.2015 - 06:06
fonte

Leggi altre domande sui tag