web-dev-qa-db-ja.com

IPSec IPフィルタリングに依存することに関連するリスクは何ですか?

フィルターが追加されるたびにIPフィルタリングにWindows IPSecを使用する場合は、「ミラーリング」ルールが必要です(「ミラーリングされた一致パケット...」チェックボックスをオンにする)。

IPSecフィルタリングはステートフルではないため、このオプションを有効にしないと、双方向で通信できません。 この記事 から引用します:

ルールをミラーリングしないと、双方向で通信できません。ファイアウォールがそうであるように、IPsecは「ステートフル」ではありません-B to AコンポーネントなしでAからBへのルールがある場合、A上のIPsecはBからのすべてのトラフィックをドロップします。 A.これが、IPsecをファイアウォールとして効果的に使用することが非常に困難になっている理由の1つです。

私が言うルールがある場合:

リモートホスト172.16.3.200の任意のポートからポート5666へのIPアドレスへのインバウンド接続を許可する

これは次のように実装されます:

 netsh ipsec static add filter filterlist = "NAGIOS NSClient" 
 srcaddr = 172.16.3.200 srcport = 0 
 dstaddr = ME dstport = 5666 
 mirrored = yes 
 description = "Inbound" 
 protocol = TCP 

「ミラー」ルールは次のようになります。

ポート5666からリモートホスト172.16.3.200の任意のポートへの私のIPアドレスからの送信接続を許可する

不要なトラフィックに関するこのような構成のセキュリティリスクは何ですか?

5
Kev

私はWindowsに精通していませんが、一般にこれらのIPsec SAルールはファイアウォールから完全に分離されています。これらは、セッションキーなどのIPsec固有の情報を(ステートレス)パケットに関連付けることを目的としていますゲートウェイは、特定のESPパケットとその方法を復号化することになっていることをゲートウェイが認識できるようにします。「不要な」トラフィックをブロックする場合は、その上にファイアウォールを使用してください。

主な「リスク」は、TCPポートなどの上位層プロトコル情報の使用に関するものです。パケットは断片化されている可能性があるため、IPsecはどのSA =パケットが属します。これはRFC4301で説明されています。一般に、経路の断片化は推奨されず、IPv6から削除されるため、最善の解決策は、単にすべてのフラグメントをドロップするか、TCP/UDPポート情報を使用しないことです。

1
pepe

サービスに応じて、発信ポートは通常着信ポートとは異なり、ランダムに割り当てられることがよくあります。そのため、ミラーはlocalhostの任意のポートからリモートホストの5666にあります。リスクは、IPSecモード(トランスポートまたはトンネリング)によって異なります。最も可能性の高い脅威は可用性です。トランスポートモードでは、宛先IPとポートは平文です。そのため、攻撃者は宛先ポートをフラッディングする可能性があります。

1
this.josh