Иллюстрированный самоучитель по Secure Web


Результаты анализа протокола IPSec


Многие исследователи отмечают закрытость стандарта IPSec, встроенного в Windows 2000 компанией Microsoft. Однако такая закрытость имеет и свои преимущества. Поскольку никто толком не знает принципов работы протокола IPSec, то неизвестны и способы его взлома (устройства, работающие на базе протокола IPSec можно обнаружить путем прослушивания UDP-порта 500). Однако, как станет ясно из следующего раздела, завеса таинственности — не лучший фундамент для создания протокола безопасности.

Результаты анализа, проведенного Шнеером (Schneier) и Фергюссоном (Ferguson)


После покорения протокола РРТР Брюс Шнеер и его коллега Нельс Фергюссон (Niels Ferguson) из Counterpane Internet Security сконцентрировали свое внимание на протоколе IPSec и описали результаты своего анализа в специальной статье. Основной лейтмотив статьи Брюс Шнеера и Нельса Фергюссона сводится к тому, что и сам протокол IPSec, и соответствующие документы, описывающие его стандарт, потрясающе сложны. Это мнение человека, разработавшего алгоритм шифрования, претендующий на утверждение в качестве государственного стандарта США — AES (Advanced Encryption Algorithm).

В течение нескольких лет утверждения этих документов никто не опроверг. И хотя мы не советуем знакомиться с этой статьей читателям, которым неизвестен протокол IPSec, осведомленные специалисты получат от нее удовольствие. Вот несколько классических "перлов" и "бесценных" рекомендаций из этой статьи.

  •  "Протоколы шифрования не должны разрабатываться группами специалистов."
  •  "Сложность — главный враг безопасности."
  •  "Единственный надежный способ проверки безопасности системы — ее тестирование." (Главный лейтмотив этой книги.)
  •  "Избегайте режима транспортировки и использования протокола АН, используйте инкапсуляцию на базе протокола ESP."

Брюс Шнеер и Нельс Фергюссон завершают свою статью признанием полной капитуляции: "По нашему мнению, протокол IPSec слишком сложен, чтобы быть безопасным. Однако на сегодняшний день лучшего средства защиты не существует." Конечно же, пользователи протокола IPSec должны полагаться на авторов конкретной реализации этого стандарта. Каждой конкретной реализации могут быть присущи свои собственные достоинства и недостатки, которые не останутся незамеченными сообществом хакеров.



Начало  Назад  Вперед