¿Cuál es el tamaño de la ventana para la opción "Habilitar la protección de reproducción" para el túnel IPSec?
50885
Created On 10/23/19 23:07 PM - Last Modified 08/19/22 19:16 PM
Question
¿Cuál es el tamaño de la ventana para la opción "Habilitar la protección de reproducción" para el túnel IPSec?
Environment
La opción "Habilitar protección de repetición" para el túnel IPSec se encuentra bajo túneles IPSec de la red > > túnel IPSec, al habilitar "Mostrar opciones avanzadas" en el general para las configuraciones del TAB túnel IPSec.
Esta opción se utiliza para proteger contra ataques de repetición.
Answer
El tamaño de la ventana de repetición es de 64 paquetes y no se puede configurar en el Palo NGFW Alto.
Additional Information
- Anti-replay es un sub-protocolo de IPsec que forma parte del Grupo de Trabajo de Ingeniería de Internet ( IETF ). El objetivo principal de anti-replay es evitar que los piratas informáticos inyecte o hacer cambios en los paquetes que viajan de una fuente a un destino. El protocolo anti-replay utiliza una asociación de seguridad unidireccional para establecer una conexión segura entre dos Nodos en la red. Una vez que se establece una conexión segura, el protocolo anti-replay utiliza números de secuencia de paquetes para derrotar los ataques de reproducción de la siguiente manera: Cuando el origen envía un mensaje, agrega un número de secuencia a su paquete; el número de secuencia comienza en 0 y se incrementa en 1 para cada paquete subsiguiente. El destino mantiene un registro de "ventana deslizante" de los números de secuencia de los paquetes recibidos validados; rechaza todos los paquetes que tienen un número de secuencia que es más bajo que el más bajo en la ventana deslizante (es decir, demasiado viejo) o ya aparece en la ventana deslizante (es decir, duplicados/repeticiones). Los paquetes aceptados, una vez validados, actualizan la ventana deslizante (desplazando el número de secuencia más bajo fuera de la ventana si ya estaba lleno).
- RFC 4303 - IP Encapsulación de carga útil de seguridad ( ESP )
- RFC 6479 - Algoritmo anti-repetición IPsec sin cambios de bits