• Tweet

Las firmas que utilizan seguridad IP (IPSec) en las redes privadas virtuales (VPN's) fueron alertadas de un serio problema de seguridad por el National Infrastructure Security Coodination Center (NISCC) en Mayo.

El NISCC dijo, "Si es explotada, es posible para un atacante obtener la versión en texto plano de las comunicaciones protegidas con IPSec con poco esfuerzo."

El sitio Web de Seguridad SANS Storm Center (ISC) estuvo de acuerdo con la valoración, aunque señaló una nota enviada en línea por un lector de ISC quien dijo que de forma predeterminada muchos servidores VPN tienen la opción de "protección de la integridad" apagada, por lo que el impacto del problema puede ser reducido.

El boletín de seguridad del NISCC, detalla tres escenarios de ataque, todos ellos con resultados en la captura de datos en texto plano por el atacante. También Ofrece tres soluciones para prevenir el ataque. El primero, la solución recomendada por el NISCC, es configurar Encapsulating Security Payload (ESP) para usar tanto protección en la confidencialidad como en la integridad.

Una segunda opción es el uso del protocolo Authentication Header (AH) a lo largo de ESP para proporcionar protección en la integridad.

Sin embargo, las configuraciones que usan esta solución pueden ser vulnerables. La tercera opción es restringir la generación de mensajes ICMP o filtrar estos mensajes en un firewall o gateway seguro.

El uso de IPSec en VPN's está siendo extensamente cambiado por Secure Sockets Layer (SSL), que es conocido por ser más seguro por su manejo.

En una declaración de la empresa vendedora Aventail para SSL en VPN's, su jefe arquitecto, Gay Tomlinson, argumentó que SSL para VPN's es intrínsecamente más seguro "la autentificación, autorización y confidencialidad está siendo utilizada en la capa de aplicación mas que en la capa de red".