Wie groß ist die Fenstergröße für die Option "Replay Protection aktivieren" für den IPSec-Tunnel?
50885
Created On 10/23/19 23:07 PM - Last Modified 08/19/22 19:16 PM
Question
Wie groß ist die Fenstergröße für die Option "Replay Protection aktivieren" für den IPSec-Tunnel?
Environment
Die Option "Replay Protection aktivieren" für den IPSec-Tunnel finden Sie unter Netzwerk- > IPSec-Tunnel > IPSec-Tunnel, wenn Sie "Erweiterte Optionen anzeigen" in den Einstellungen für den TAB ALLGEMEINEN für IPSec-Tunnel aktivieren.
Diese Option wird zum Schutz vor Wiederholungsangriffen verwendet.
Answer
Die Größe des Wiedergabefensters beträgt 64 Pakete und ist auf dem Palo Alto nicht NGFW konfigurierbar.
Additional Information
- Anti-Replay ist ein Subprotokoll von IPSec, das Teil der Internet Engineering Task Force ( IETF ist. Das Hauptziel der Anti-Replay ist es, zu vermeiden, dass Hacker Pakete, die von einer Quelle zu einem Ziel reisen, injizieren oder Änderungen vornehmen. Das Anti-Replay-Protokoll verwendet eine unidirektionale Sicherheitszuordnung, um eine sichere Verbindung zwischen zwei Knoten im Netzwerk herzustellen. Sobald eine sichere Verbindung hergestellt wurde, verwendet das Anti-Replay-Protokoll Paketsequenznummern, um Wiederholungsangriffe wie folgt zu besiegen: Wenn die Quelle eine Nachricht sendet, fügt sie ihrem Paket eine Sequenznummer hinzu; Die Sequenznummer beginnt bei 0 und wird für jedes nachfolgende Paket um 1 erhöht. Das Ziel verwaltet einen "Schiebefenster"-Datensatz der Sequenznummern der validierten empfangenen Pakete. es lehnt alle Pakete ab, die eine Sequenznummer haben, die niedriger als die niedrigste im Schiebefenster ist (d.h. zu alt) oder bereits im Schiebefenster angezeigt wird (d. h. Duplikate/Wiederholungen). Akzeptierte Pakete aktualisieren nach der Validierung das Schiebefenster (verdrängen Sie die niedrigste Sequenznummer aus dem Fenster, wenn sie bereits voll war).
- RFC 4303 - IP Einkapseln von Sicherheitsnutzlast ( ESP )
- RFC 6479 - IPsec Anti-Replay-Algorithmus ohne Bitverschiebung