Riesgos de seguridad transversal de NAT del modo de transporte IPsec

3

El strongSwan FAQ dice:

  

NAT-Traversal con modo de transporte IPsec tiene algunos riesgos de seguridad inherentes.

¿A qué tipo de riesgos de seguridad se refiere la documentación?

(los enlaces a otros recursos también son bienvenidos)

    
pregunta Jens Moser 14.07.2018 - 18:29
fuente

1 respuesta

0

Creo que la respuesta se refiere al Conflicto de modo de transporte , que se describe en la sección 5.2 de RFC 3948 . Si dos clientes detrás del dispositivo NAT same se conectan al servidor same usando el Modo de transporte, esto podría resultar en políticas IPsec duplicadas (es decir, entre la IP pública del dispositivo NAT y la IP del servidor) . Esto significa que el servidor solo puede enviar tráfico a uno de los clientes (generalmente el que se conectó en último lugar). Si los selectores de tráfico incluyen puertos y protocolos, este problema podría evitarse (a menos que entren en conflicto) y, en algunos casos, es posible solucionarlo (por ejemplo, mediante el uso de strongSwan plugin de connmark ).

El término "riesgo de seguridad inherente" puede ser un poco severo (tenga en cuenta que, mientras tanto, cambié eso en la página de Preguntas frecuentes), por lo que las nuevas versiones de strongSwan admiten NAT-T con Modo de transporte. Aunque los usuarios deben ser conscientes de las posibles advertencias. El escenario ikev2 / host2host-transport-nat en el conjunto de pruebas de regresión de strongSwan ilustra dos posibles problemas que pueden surgir al utilizar el Modo de transporte sobre NAT.

Sin embargo, los desarrolladores del proyecto FreeS / WAN, en el que se basaron originalmente las versiones de strongSwan antes de la versión 5.0.0, tenían algunas opiniones muy estrictas acerca de NAT Traversal con modo de transporte, por lo que tuvo que habilitarse específicamente con una configuración Opción (es decir, el código ni siquiera se compiló), que es lo que explica el resto de la respuesta en las Preguntas frecuentes (si la opción no estaba habilitada, el mensaje de error transmitía claramente su opinión: "NAT-Traversal: modo de transporte deshabilitado debido a las preocupaciones de seguridad ").

Por cierto, la respuesta de la entrada de preguntas frecuentes se basa en una cita de un correo electrónico de Andreas Steffen (fundador del proyecto strongSwan) de 2009, que, desafortunadamente, ya no está disponible en los archivos de la lista de correo. Pero mirar las versiones anteriores de la respuesta en el historial de la página de preguntas frecuentes hace apunta a este origen .

Para completar, hay un problema similar con el Modo de túnel sobre los NAT (descrito en sección 5.1 de RFC 3948 ) si dos clientes detrás de diferentes dispositivos NAT con la misma dirección IP privada se conectan al mismo servidor. Sin embargo, esto puede evitarse fácilmente asignando IPs virtuales a los clientes (que es lo que generalmente se hace en roadwarrior escenarios).

    
respondido por el ecdsa 17.07.2018 - 11:54
fuente

Lea otras preguntas en las etiquetas