Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 0295 390 230

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2005 > CERT-FI haavoittuvuustiedote 039/2005

CERT-FI haavoittuvuustiedote 039/2005

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

9.5.2005

Haavoittuvuuksia IPsec-toteutuksissa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
- matkaviestimet
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja

IP Security (IPsec) on IETF:n (Internet Engineering Task Force) kehittämä kokoelma protokollia, joiden tarkoituksena on mahdollistaa tietoliikennepakettien turvallinen vaihto IP-tasolla. IPsec on laajasti käytössä mm. VPN (Virtual Private Networks) -toteutuksissa.

Eräistä IPsec-toteutuksista on löydetty haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista saada haltuunsa IPsec:llä suojattua tietoliikennettä selkokielisenä.

Lisätietoa haavoittuvista IPsec-toteutuksista tai toteutusympäristöistä on saatavilla osoitteesta:

http://www.uniras.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en

HAAVOITTUVAT OHJELMISTOT:

  • Haavoittuvuus koskee IPsec-toteutuksia, joissa IPsec:a käytetään ESP (Encapsulating Security Payload) -tunneloituna vain luotettavuuteen (confidentiality) perustuen tai silloin kun tietoliikenteen eheyden (integrity) tarkistus perustuu ylemmän tason protokollaan. Myös eräät AH:n (Authentication Header) avulla toteutetut eheyden tarkistukseen perustuvat IPsec-toteutukset voivat olla haavoittuvia.

Lisätietoa ja päivittyvä luettelo haavoittuvista ohjelmistotuotteista on saatavilla osoitteesta:

http://www.uniras.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Kaikilla alla olevilla toimenpiteillä on mahdollista estää haavoittuvuuden hyväksikäyttöä:

  • Määritä ESP käyttämään sekä luotettavuuden että eheyden tarkistusta

  • Käytä ESP:n rinnalla AH-protokollaa tarjoamaan eheyden tarkistusta. Huomaa, että toteutukset, joissa AH:ta käytetään transport-moodissa päästä päähän tunneloituna ESP:iin ovat edelleen haavoittuvia

  • Poista mahdollisuus virheraportointiin estämällä ICMP-viestien luonti tai rajaamalla nämä viestit palomuurilla tai yhdyskäytävätasolla.

Lisätietoa haavoittuvuuden rajaamisesta on saatavilla osoitteesta:

http://www.uniras.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en

LISÄTIETOA:

http://www.uniras.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en

PÄIVITYSHISTORIA:

09.05.2005: Julkaistu
Sivua päivitetty 17.07.2007   Tulostusversio Tulostusversio