Валентин
@vvpoloskin Куратор тега Компьютерные сети
Игорь Митраков, вероятно вы мало работали с системами связи. Нет такого понятия, как пофиксить уязвимости в протоколе передачи, пофиксить можно софт, конкретную реализацию. Но есть различные опции увеличения стойкости к атакам. Из-за разнородности сетевого оборудования, удобства эксплуатации и даже экономической целесообразности (anyconnect тоже денег стоит) опциями периодически приходится жертвовать. Именно поэтому настоящая информационная безопасность всегда начинается с политик (бюрократических), в которых описаны риски и способы их минимизации.
Игорь Митраков, Сами читать пробовали? И разобраться, что за ситуация там разбирается? Оставим в стороне тот факт, что IKEv2 уже давно и повсеместно используется, а кое-где и поддержки IKEv1 уже просто нет. Обратим внимание на модель безопасности в данном случае. Что видим? Правильно aggressive mode и PSK. В курсе, что такое aggressive mode вообще? Это когда сервер ничего не знает о клиенте (roadwarrior так называемый) и в ответ на его первый запрос просто вываливает ему всю нужную информацию для установления соединения. А PSK - Pre-Shared Keys - то есть метод заранее согласованных текстовых ключей - примерно то же самое, что с WiFi - сколько бы ни был хорош ключ, но его можно сломать, если очень захотеть.
То есть ослабили протокол как только можно, а потом пытаются его ломать. Взломайте-ка мне соединение с аутентификацией по сертификатам, с контролем по IP - вот тогда будет интересно.
