Xakep #305. Многошаговые SQL-инъекции
Уязвимость позволяет удаленному
пользователю изменить IP адрес источника
пакета, расшифровать и перехватить
потенциально важные данные.
IPSec состоит из нескольких отдельных
протоколов, которые включают:
Authentication Header (AH): обеспечивает
аутентичность пакета, добавляя к нему
стойкую криптографическую контрольную
сумму.
Encapsulating Security Payload (ESP): обеспечивает
конфиденциальность пакета, шифруя пакет с
помощью алгоритмов шифрования. ESP также
обеспечивает необязательную службу
аутентификации для пакетов.
Internet Key Exchange (IKE): обеспечивает безопасный
обмен внешними ключами.
ESP и AH могут использовать два режима:
туннельный (tunnel mode) и транспортный (transport mode).
При использовании туннельного режима в ESP,
IP пакет (внутренний пакет) полностью
шифруется и используется для формирования
payload нового пакета (внешний пакет). Обычно
ESP использует CBC режим шифрования для
обеспечения конфиденциальности. Без
защиты целостности, зашифрованные данные
в режиме CBC могут быть модифицированы
атакующим.
Атакующий может определенным образом
внести изменения во внешний пакет, которые
затронут данные внутреннего пакета.
Поскольку расшифровкой данных занимается
программное обеспечение уровня IP, все
содержимое внутреннего пакета в открытом
виде, или ICMP сообщение об ошибке могут быть
отправлены атакующему.
Решение: Способов устранения
уязвимости не существует в настоящее
время.
В качестве временного решения
рекомендуется:
1. Сконфигурировать ESP для использования
защиты конфиденциальности и целостности
данных.
2. Использовать AH протокол совместно с ESP
для защиты целостности данных.
3. Запретить ICMP сообщения об ошибке с
помощью межсетевого экрана.