13 views

Internet协议“IPsec”中发现的安全漏洞

By | 2019年1月10日

与波兰奥波莱大学的同事合作,波鸿鲁尔大学HorstGörtz信息技术安全研究所(HGI)的研究人员证明,互联网协议“IPsec”易受攻击。作为协议系列一部分的Internet密钥交换协议“IKEv1”具有漏洞,使潜在的攻击者能够干扰通信过程并拦截特定信息。

研究结果由Dennis Felsch,Martin Grothe和RUB网络与数据安全主席JörgSchwenk博士以及奥波莱大学的Adam Czubak和Marcin Szymanek于2018年8月16日在Usenix安全研讨会上发表。

安全和加密的通信

作为互联网协议(IP)的增强,已开发出“IPsec”以确保通过公共可访问的密码进行加密安全通信。不安全的网络,例如因特网,通过使用加密和认证机制。这种类型的沟通通常与员工在分散的工作场所(例如销售代表或家庭办公室)运营并且必须访问公司资源的企业相关。此外,该协议可用于建立虚拟专用网络或VPN。

为了实现与“IPsec”的加密连接,双方必须验证和定义通信所必需的共享密钥。可以通过Internet密钥交换协议“IKEv1”进行自动密钥管理和身份验证,例如通过密码或数字签名。

“即使该协议被认为已经过时,并且市场上已有很长时间可用的新版本,即IKEv2,我们在现实应用中看到它仍然在操作系统中实现,并且即使在较新的设备上仍然很受欢迎,“Dennis Felsch解释道。但研究人员在分析过程中发现,正是这种协议存在漏洞。

Bleichenbacher的攻击成功

在他们的项目过程中,研究人员通过部署1998年发明的所谓Bleichenbacher攻击来攻击基于加密的“IPsec”登录模式。其原理是:错误被故意纳入编码信息中,然后重复发送到服务器。根据服务器对损坏消息的回复,攻击者可以逐步得出关于加密内容的更好和更好的结论。

“因此,攻击者逐步接近目标,直到他达到目标,”马丁格罗斯说道,“这就像一条有两端的隧道。如果两方中的一方很脆弱,那就足够了。最终,漏洞允许攻击者干扰通信过程,承担其中一个通信伙伴的身份,并积极进行数据窃取。“

Bleichenbacher的攻击被证明对四个网络设备提供商的硬件有效。受影响的各方是Clavister,Zyxel,Cisco和华为。所有四家制造商都已收到通知,现已消除了安全漏洞。

密码正在审查中

除了基于加密的登录模式,研究人员还一直在研究基于密码的登录。“通过密码进行身份验证是使用散列值进行的,这类似于指纹。在我们的攻击过程中,我们证明了IKEv1和当前的IKEv2都存在漏洞并且可能很容易受到攻击 – 特别是如果密码很弱的话。如果在这种模式下部署IPsec,高度复杂的密码可提供最佳保护,“Martin Grothe总结道。该漏洞还传达给计算机应急响应小组(CERT),因为它协调对实际IT安全事件的响应,并在研究人员向业界通报漏洞时向其提供帮助。

全面清晰的用户和网络设备提供商

已识别的Bleichenbacher漏洞不是标准中的错误,而是可以避免的实现错误 – 这一切都取决于制造商如何将协议集成到他们的设备中。此外,攻击者必须首先进入网络,然后才能做任何事情。然而,研究人员的成功攻击已经证明,诸如“IPsec”之类的既定协议仍然包括Bleichenbacher间隙,这使得它们可能容易受到攻击。

发表评论

电子邮件地址不会被公开。 必填项已用*标注