¿Cuáles son los riesgos asociados con confiar en el filtrado de IP IPSec?

5

Al usar el IPSec de Windows para el filtrado de IP cada vez que se agrega un filtro, debe tener una regla "espejo" (marcando la casilla "Reflejado. Hacer coincidir paquetes ...").

Debido a que el filtrado IPSec no tiene estado, si no tiene esta opción habilitada, no puede comunicarse en ambas direcciones. De este artículo , cito:

  

Si no refleja sus reglas, entonces   no puedes comunicarte en ambos   direcciones. IPsec no es "con estado" en   la forma en que Firewall es - si tiene   una regla de A a B sin la B a A   componente, entonces IPsec en A caerá   Todo el tráfico de B, incluso si es el   respuesta a la solicitud enviada por A. Eso es   parte de lo que hace tan difícil IPsec   para usar de manera efectiva como un cortafuegos.

Si tengo una regla que dice:

  

Permitir conexiones entrantes a mi dirección IP al puerto 5666 desde cualquier puerto en el host remoto 172.16.3.200

Que se implementaría como:

netsh ipsec static add filter filterlist="NAGIOS NSClient" 
      srcaddr=172.16.3.200 srcport=0 
      dstaddr=ME dstport=5666 
      mirrored=yes 
      description="Inbound" 
      protocol=TCP

La regla de "espejo" sería:

  

Permitir conexiones salientes desde mi dirección IP desde el puerto 5666 a cualquier puerto en el host remoto 172.16.3.200

¿Cuáles son los riesgos de seguridad de esta configuración con respecto al tráfico no deseado?

    
pregunta Kev 18.05.2011 - 01:03
fuente

2 respuestas

1

Dependiendo del servicio, el puerto saliente suele ser diferente del puerto entrante y, a menudo, se asigna de forma aleatoria. Así que el espejo sería desde cualquier puerto en localhost a 5666 en el host remoto. El riesgo depende del modo IPSec: transporte o tunelización. Yo diría que la amenaza más probable sería la disponibilidad. En el transporte, la IP y el puerto de destino están a la vista, por lo que un adversario podría intentar inundar el puerto de destino.

    
respondido por el this.josh 12.06.2011 - 08:30
fuente
1

No estoy familiarizado con Windows, pero en general estas reglas de SA de IPSec están completamente separadas de su firewall. Están destinados a asociar cierta información específica de IPsec como la clave de sesión con el flujo de paquetes (sin estado), de modo que la puerta de enlace sepa que se supone que descifra un paquete ESP en particular, y cómo. Si desea bloquear el tráfico "no deseado", use el cortafuegos que hay encima.

El "riesgo" principal es el uso de información de protocolo de capa superior, como los puertos TCP. Los paquetes pueden estar fragmentados, por lo que IPsec no puede identificar a qué SA pertenece un paquete. Esto se discute en RFC4301. Dado que la fragmentación en ruta generalmente no se recomienda y se elimina de IPv6, supongo que la mejor solución es simplemente eliminar todos los fragmentos, o no usar la información del puerto TCP / UDP.

    
respondido por el pepe 23.06.2011 - 20:50
fuente

Lea otras preguntas en las etiquetas