¿Es seguro no cifrar paquetes de ping?

Navega tus respuestas
0

Estoy ejecutando la comunicación cifrada con ping añadido después de que se complete el descifrado y la deserialización.

I.e.

datos entrantes - > dividido en paquetes - > descifrar - > deserializador - > mensaje real o ping

mensaje saliente o ping - > serializador - > cifrar - > enviar

Preferiría que se manejara el ping antes de que ocurra cualquier descifrado y en su lugar, forme parte de la capa de socket más baja.

Lo que me pregunto es si introduzco cualquier debilidad de esta manera. (La capa criptográfica real puede ser TLS o similar).

No veo cómo la manipulación del ping sin cifrar permitiría mucho, dado que solo lo uso para probar la vida de la conexión y obtener un RTT.

¿Estoy pasando por alto algo?

EDITAR:

Solo para que quede claro, se relaciona con un protocolo personalizado de servidor-cliente para un juego. El "ping" aquí es simplemente un paquete especial que se envía periódicamente desde el servidor al cliente y luego vuelve a aparecer.

Esto ayuda tanto al cliente como al servidor a garantizar que la comunicación esté abierta: uno puede implementar la verificación "si no se ve el ping dentro de x segundos, asuma que la conexión está interrumpida".

    
pregunta Nuoji 16.08.2013 - 14:17
fuente

1 respuesta

3

Su pregunta no está muy clara en los detalles, por lo que asumo que quiere decir lo siguiente:

  • Tienes algún tipo de VPN que se desarrolla entre la máquina A y la máquina B, y la VPN encapsula todo paquetes IP de A a B y de B a A dentro de un túnel cifrado que probablemente utilice SSL / TLS para la parte de cifrado.

  • La VPN recoge todos los paquetes , ya sean relacionados con TCP, UDP o ICMP.

  • Se pregunta si los paquetes de eco de ICMP (también conocidos como "ping" ) viajan fuera de la VPN, sin protección, abriría vulnerabilidades.

En estas condiciones, la respuesta parece es "no, no abre ninguna vulnerabilidad", según el siguiente argumento: la protección de VPN consiste en proteger cierto tráfico específico, entre A y B, contra Interferencia de los forasteros. Mientras su "tráfico importante", el que desea proteger, siga pasando por la VPN, entonces ese tráfico seguirá estando protegido. Tenga en cuenta, sin embargo, los siguientes puntos:

  • Puede ser difícil configurar un software VPN para excluir, explícitamente, las solicitudes y respuestas de ICMP Echo, pero aún así incluye TCP y, fundamentalmente, otros tipos de mensajes ICMP . Si bien el protocolo de "ping" es bastante benigno, algunos otros mensajes ICMP pueden ser importantes para la correcta propagación del tráfico de red. Además, como un "ping" consiste en una solicitud y luego en una respuesta, ambos extremos del túnel (máquinas A y B) deben configurarse para no proteger el paquete ICMP.

  • Usted hace un "ping" por una razón. Si el "ping" no está protegido, los atacantes lo pueden alterar, lo que puede afectar la razón por la que haces el ping. Los atacantes podrían bloquear la solicitud o la respuesta, simulando una máquina "inactiva" (posiblemente, si pueden hacerlo, también pueden bloquear todo el tráfico VPN, por lo que ese punto podría ser bastante discutible).

  • Un "ping" que sale de la VPN comprueba si la máquina del otro lado está funcionando y funcionando, pero, por definición, no probará si el VPN link también está en funcionamiento. La otra máquina podría estar activa, pero el servicio VPN está inactivo, y luego el "ping" no se lo dirá. Por lo tanto, manejar el "ping" fuera de la VPN no ofrece la misma funcionalidad que un "ping" en la VPN.

  • De manera similar, en muchas configuraciones de VPN, una de las máquinas en realidad es una red local completa que contiene muchas máquinas con direcciones IP privadas. Se puede dirigir una solicitud de "ping" a través de la VPN a cualquiera de estas máquinas con IP privada. Un "ping" fuera de la VPN puede llegar solo a las máquinas con una dirección IP no privada, accesible a través de Internet, es decir, la puerta de enlace VPN. Una vez más, la funcionalidad es diferente.

Esto también plantea la pregunta: ¿por qué querría un ping "desprotegido"? La única razón por la que veo es cuando la VPN parece estar inactiva o no responde, y usted quiere saber si el culpable es el software VPN del otro lado o la red intermedia.

    
respondido por el Tom Leek 16.08.2013 - 15:01
fuente

Lea otras preguntas en las etiquetas

Peligro al abrir correos electrónicos no deseados en el sistema operativo Ubuntu [cerrado] Quiero almacenar una gran cantidad de claves simétricas de vida relativamente corta