Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 28

IKE використовує HASH величини для аутентифікації обох сторін. Насправді, це величини MAC (код аутентифікації повідомлення), а зовсім не хеш величини.

Атаки на AH, ESP і IKE.

Всі види атак на компоненти IPSec можна розділити на наступні групи:

Ø  атаки, що експлуатують кінцівку ресурсів системи (типовий приклад - атака "Відмова в обслуговуванні", Denial-of-service або DOS-атака)

Ø  атаки, що використовують особливості і помилки конкретної реалізації IPSec

Ø  атаки, засновані на слабкостях самих протоколів AH і ESP

Чисто криптографічні атаки можна не розглядати - обидва протоколи визначають поняття "трансформ", куди приховують всю криптографію. Якщо використовуваний криптоалгоритм стійкий, а визначений з ним трансформ не вносить додаткових слабкостів (це не завжди так, тому правильніше розглядати стійкість всієї системи - Протокол-Трансформ-алгоритм), то з цієї сторони все нормально.

Що залишається? Replay Attack - нівелюється за рахунок використовування Sequence Number (у одному єдиному випадку це не працює - при використовуванні ESP без аутентифікації і без AH). Далі, порядок виконання дій (спочатку шифрация, потім аутентифікація) гарантує швидку отбраковку "поганих" пакетів (більш того, згідно останнім дослідженням в світі криптографії, саме такий порядок дій найбільш безпечний, зворотний порядок в деяких, правда дуже окремих випадках, може привести до потенційних дір в безпеці; на щастя, ні SSL, ні IKE, ні інші поширені протоколи з порядком дій "спочатку аутентіфіцировать, потім зашифрувати", до цих окремих випадків не відносяться, і, отже, цих дір не мають).

Залишається Denial-Of-Service атака. Як відомо, це атака, від якої не існує повного захисту. Проте, швидка отбраковка поганих пакетів і відсутність якої-небудь зовнішньої реакції на них (згідно RFC) дозволяють більш-менш добре справлятися з цією атакою. У принципі, більшості (якщо не всім) відомим мережним атакам (sniffing, spoofing, hijacking і т.п.) AH і ESP при правильному їх застосуванні успішно протистоять. З IKE дещо складніше. Протокол дуже складний, важкий для аналізу. Крім того, через друкарські помилки (у формулі обчислення HASH_R) при його написанні і не зовсім вдалих рішень (той же HASH_R і HASH_I) він містить декілька потенційних "дір" (зокрема, в першій фазі не все Payload в повідомленні аутентіфіцируются), втім, вони не дуже серйозні і ведуть, максимум, до відмови у встановленні з'єднання. Від атак типу replay, spoofing, sniffing, hijacking IKE більш-менш успішно захищається. З криптографією дещо складніше, - вона не винесена, як в AH і ESP, окремо, а реалізована в самому протоколі. Проте, при використовуванні стійких алгоритмів і примітивів (PRF), проблем бути не повинно. Якоюсь мірою можна розглядати як слабкість IPsec те, що як єдиний обов'язковий до реалізації криптоалгоритма в нинішніх специфікаціях указується DES (це справедливо і для ESP, і для IKE), 56 біт ключа якого вже не вважаються достатніми. Проте, це чисто формальна слабкість - самі специфікації є не-залежними, і практично всі відомі вендори давно реалізували 3DES (а деякі вже і AES) .Таким чином, при правильній реалізації, найбільш "небезпечною" атакою залишається Denial-Of-Service.

Оцінка протоколу

Протокол IPSec одержав неоднозначну оцінку з боку фахівців. З одного боку, наголошується, що протокол IPSec є кращим серед всіх інших протоколів захисту передаваних по мережі даних, розроблених раніше (включаючи розроблений Microsoft PPTP). З другого боку, присутня надмірна складність і надмірність протоколу. На думку аналітиків, протокол є дуже складним, щоб бути безпечним. Зокрема, Niels Ferguson і Bruce Schneier в своїй роботі "А Cryptographic Evaluation of IPsec" відзначають, що вони знайшли серйозні проблеми безпеки практично у всіх головних компонентах IPsec. Автори також відзначають, що набір протоколів вимагає серйозної доробки для того, щоб він забезпечував хороший рівень безпеки. Вони також приводять опис ряду атак, що використовують як слабкості загальної схеми обробки даних, так і слабкості криптографічних алгоритмів.