IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

IPsec项下的错误可能会造成新一轮的攻击

2007年09月21日
/

芬兰的研究者最近指出了一个高风险的基于重要的IPsec VPNs部分的安全协议弱点。错误的严重性在于其针对与不同供应商的所体现出的不同症状,一些供应商已经提出其发现了错你误症状,而另一些的供应商的产品则未受影响。但是,其影响必将是巨大的,因为现在已知的大型供应商包括Cisco Systems, 3Com, Juniper Networks, Microsoft 以及 IBM都已经有了错误的报道。
目前最大的问题就是如何在国际安全标准ISAKMP(Internet Security Association and Key Management Protocol)之下进行多方安全问题的磋商。按照CERT-FI 和 the United Kingdom's National Infrastructure Security Coordination Center的定义,ISAKMP是IKE下的衍生产品,为验证数据以及独立于任何编码技术和验证技术的数据的传输。
芬兰Oulu大学的专家近期所发现的安全弱点很可能造成对于服务的拒绝,在一些情况下还可能被袭击者利用来进行编码的执行。不过,问题的发现者也指出,ISAKMP/IKE的用户应用软件相对于服务应用软件来说,防御性较强,因为用户多会主动地提出安全要求。
到目前为止,以下的几个供应商已经进行了如下的报告:
3Com表示,他们正在加紧检查其系统的严密性。
Cisco也在近期举行的网络安全咨询会上的公告中表示当发现潜在错误的数据包的时候,系统会自动进行处理,不过这可能会造成暂时性的服务拒绝:Denialof Service(DoS)
Openswan也表示,他们会继续检测其IPsec软件,这些软件在Linux distributions中使用广泛,其中包括Red Hat Linux, SuSE/Novell, Debian, Fedora Linux 以及 Mandrake。公司还表示,openswan v-1是安全的,不过openswan v-2对于服务拒绝性攻击的抵御能力较差,公司希望用户能够尽快地使用近期释放的针对3DES错误的补丁来更新其openswan-2.4.2。
Entrust也已经发布了自己的安全公告
不过,在IBM看来,他们并不认为这个错误会影响到其AIX操作系统,同时,他们还强调IPsec应当在IKE模式下使用。
Intoto则表示其iGateway VPN已经经过检验,并没有发现问题。
Juniper Networks的 M/T/J/E-系列路由器 和 JUNOS Security/JUNOSe 的安全平台,相对来说都存在着安全隐患,解决办法必须尽快出台。
Microsoft报道并没有发现感染
Mitel Corp.表示自己产品中并没有发现此类错误,但是还是要在近期关注一下其6042 Managed VPN产品。
Secgo的 Crypt IP gateway 以及其用户产品都很安全,因为Secgo使用了三方的toolkit。公司建议用户使用Crypto IP Gateway 或者 Client v3.2.26,还要注意近期升级。
Stonesoft Corp公司也出台了其对客户的建议。
StrongSwan是Linux-based IPsec软件的主要提供者,他们也声明自己的产品没有此类安全错误。
TeamF1 Inc也对产品的安全性进行了保证。
比较严格的安全性操作包括使用信息包过滤器以及仅仅从可信的IP地址中接受信息。
同时,芬兰的研究者也在2002年发现了Simple Network Management Protocol (SNMP)中的错误,这个最近的发现与对于SNMP.的深入研究有很大的关系.


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点