Можно ли зашифровать протоколом IPSec ВЕСЬ трафик?

Question

Игорь Митраков @igormitrakov

Начинающий разработчик

Можно ли зашифровать протоколом IPSec ВЕСЬ трафик?

Здравствуйте. Подскажите пожалуйста, возможно ли протоколом IPSec зашифровать абсолютно весь трафик?

Вопрос задан более трёх лет назад
282 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

7 комментариев

Игорь Митраков @igormitrakov Автор вопроса

я так понимаю уязвимости в протоколе на данный момент все пофиксили?

Написано более трёх лет назад
Валентин @vvpoloskin Куратор тега Компьютерные сети

Игорь Митраков, а какие вы знаете уязвимости?

Написано более трёх лет назад
Игорь Митраков @igormitrakov Автор вопроса

Валентин, протокол ISAKMP

Написано более трёх лет назад
CityCat4 @CityCat4 Куратор тега Сетевое администрирование

Игорь Митраков, cve в студию плиз. Ну или ссылку на описание оной.

Написано более трёх лет назад
Игорь Митраков @igormitrakov Автор вопроса

CityCat4, https://xakep.ru/2015/05/13/ipsec-security-flaws/

Написано более трёх лет назад
Валентин @vvpoloskin Куратор тега Компьютерные сети

Игорь Митраков, вероятно вы мало работали с системами связи. Нет такого понятия, как пофиксить уязвимости в протоколе передачи, пофиксить можно софт, конкретную реализацию. Но есть различные опции увеличения стойкости к атакам. Из-за разнородности сетевого оборудования, удобства эксплуатации и даже экономической целесообразности (anyconnect тоже денег стоит) опциями периодически приходится жертвовать. Именно поэтому настоящая информационная безопасность всегда начинается с политик (бюрократических), в которых описаны риски и способы их минимизации.

Написано более трёх лет назад
CityCat4 @CityCat4 Куратор тега Сетевое администрирование

Игорь Митраков, Сами читать пробовали? И разобраться, что за ситуация там разбирается? Оставим в стороне тот факт, что IKEv2 уже давно и повсеместно используется, а кое-где и поддержки IKEv1 уже просто нет. Обратим внимание на модель безопасности в данном случае. Что видим? Правильно aggressive mode и PSK. В курсе, что такое aggressive mode вообще? Это когда сервер ничего не знает о клиенте (roadwarrior так называемый) и в ответ на его первый запрос просто вываливает ему всю нужную информацию для установления соединения. А PSK - Pre-Shared Keys - то есть метод заранее согласованных текстовых ключей - примерно то же самое, что с WiFi - сколько бы ни был хорош ключ, но его можно сломать, если очень захотеть.

То есть ослабили протокол как только можно, а потом пытаются его ломать. Взломайте-ка мне соединение с аутентификацией по сертификатам, с контролем по IP - вот тогда будет интересно.

Написано более трёх лет назад