Buco in IPsec, VPN a rischio

Alcune vulnerabilitÓ nel protocollo di sicurezza IPsec possono indebolire la sicurezza delle reti VPN, le stesse utilizzate da molti per connettersi da remoto alla intranet della propria azienda

Londra - Il National Infrastructure Security Co-ordination Centre (NISCC) inglese ha lanciato un allarme relativo ad una vulnerabilitÓ potenzialmente grave che affligge IP Security (IPsec), un insieme di protocolli di sicurezza utilizzati soprattutto nelle VPN (Virtual Private Network).

In questo advisory, il NISCC sostiene che sono state identificate in certe configurazioni IPsec tre debolezze che "possono consentire ad un aggressore di ottenere, con moderato sforzo, il testo in chiaro di comunicazioni protette con IPsec".

Le falle, considerate "ad alto rischio", riguardano in particolare le VPN che utilizzano il protocollo di crittazione Encapsulating Security Payload (ESP) e che sono configurate per funzionare in modalitÓ tunnel senza la funzionalitÓ di controllo dell'integritÓ dei dati. Risultano per altro vulnerabili anche alcune configurazioni che usano l'Authentication Header (AH).
"╚ giÓ stato dimostrato come le tre modalitÓ di attacco funzionino in situazioni reali", ha avvisato il NISCC.

Nel proprio advisory, di cui Zone-h.it ha pubblicato una sintesi in italiano, l'organizzazione governativa inglese ha fornito alcune soluzioni su come aggirare il problema: quella raccomandata Ŕ l'attivazione contemporanea delle funzioni di segretezza e integritÓ.
TAG: sicurezza
8 Commenti alla Notizia Buco in IPsec, VPN a rischio
Ordina
  • Uno sforzetto per capire come funzionano e poi fate quello che volete in piena sicurezza.
    non+autenticato
  • Tante aziende "leader" del settore fanno a gara per "regalarci" i programmi "click & point" affinchè anche l'ultimo dei più sprovveduti sappia "configurare" la propria connessione ipsec ...
    Wizard, scrivi quà il nome, scrivi la la password .. tutto fatto.
    Grazie.
    Io ho SmoothWall da sempre, facile, non vulnerabile. Non è una azienda leade nel mercato ... Un caso?
    Tanta vita a tutti.
    non+autenticato
  • non è un caso
    non+autenticato

  • - Scritto da: Anonimo

    Ciao "anonimo" Occhiolino !

    > Tante aziende "leader" del settore fanno a gara
    > per "regalarci" i programmi "click & point"

    Grazie ai wizard .. adesso abbiamo più "SISTEMISTI" ;-(! io conierei un'altra parola ... "WIZARDISTI", ovvero quelle persone che NON sanno cosa ipsec sia .. ma sanno come crearla con il wizard!

    > affinchè anche l'ultimo dei più sprovveduti
    > sappia "configurare" la propria connessione ipsec
    > ...
    > Wizard, scrivi quà il nome, scrivi la la password
    > .. tutto fatto.
    > Grazie.
    > Io ho SmoothWall da sempre, facile, non
    > vulnerabile. Non è una azienda leader nel mercato
    > ... Un caso?

    non credo sia "un caso", m$ vuole accaparrarsi quanti più clienti possibili e per questo fornisce strumenti facili ... speriamo che un giorno non entri alla Boeing ... Sorride !

    > Tanta vita a tutti.

    tanta vita anche a te!
    non+autenticato
  • ...che stavamo per studiare/applicare le VPN in un corso universitario. A bocca aperta
    Ok, è solo una battuta, IPSec e le VPN le avevamo comunque studiate in precedenza, e mi conforta che la vulnerabilità sia solo in alcune implementazioni/configurazioni, non nella suite di protolli in sé, quindi c'è solo da fare attenzione e non è necessario inventare una nuova soluzione.
  • - Scritto da: francescor82
    > ...che stavamo per studiare/applicare le VPN in
    > un corso universitario. A bocca aperta
    > Ok, è solo una battuta, IPSec e le VPN le avevamo
    > comunque studiate in precedenza, e mi conforta
    > che la vulnerabilità sia solo in alcune
    > implementazioni/configurazioni, non nella suite
    > di protolli in sé, quindi c'è solo da fare
    > attenzione e non è necessario inventare una nuova
    > soluzione.

    Si, però fa girare le palle lo stesso il fatto che ogni tanto si scopra qualche nuova vulnerabilità in protocolli utilizzatissimi (anche se è inevitabile).
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Si, però fa girare le palle lo stesso il fatto
    > che ogni tanto si scopra qualche nuova
    > vulnerabilità in protocolli utilizzatissimi
    > (anche se è inevitabile).

    già purtroppo è inevitabile (la prefezione non è di questo mondo) l'essenziale è avere la conoscienza e la possibilità di correre ai ripari in tempi brevi
    non+autenticato
  • > già purtroppo è inevitabile (la prefezione non è
    > di questo mondo) l'essenziale è avere la
    > conoscienza e la possibilità di correre ai ripari
    > in tempi brevi
    mm... su sci.crypt *da sempre* si dice "why on the hell" permettere di disabilitare il controllo di integrità?
    Poche pippe, ci sono tanti prodotti open, certo, certo, visibili e migliorabioli da tutti, che stanno seduti da sempre sopra EMERITE id*ozie a livello di protocollo!
    Altro che "correre ai ripari in tempi brevi", qui si tratta di smetterla di mitizzare e di avere l'onestà di ammettere dove stanno le grosse baggianate!
    non+autenticato