Quelle est la taille de la fenêtre pour l’option « Activer la protection de relecture » pour le tunnel IPSec ?
50970
Created On 10/23/19 23:07 PM - Last Modified 08/19/22 19:16 PM
Question
Quelle est la taille de la fenêtre pour l’option « Activer la protection de relecture » pour le tunnel IPSec ?
Environment
L’option « Enable Replay Protection » pour le tunnel IPSec se trouve sous Network > IPSec Tunnels > IPSec Tunnel, lors de l’activation de « Afficher les options avancées » sur le général pour les TAB paramètres du tunnel IPSec.
Cette option est utilisée pour se protéger contre les attaques de relecture.
Answer
La taille de la fenêtre de relecture est de 64 paquets et il n’est pas configurable sur le Palo Alto NGFW .
Additional Information
- Anti-replay est un sous-protocole de l’IPsec qui fait partie de l’Internet Engineering Task Force ( IETF ). L’objectif principal de l’anti-replay est d’éviter que les pirates n’injectent ou n’modifient les paquets qui voyagent d’une source à une destination. Le protocole anti-relecture utilise une association de sécurité unidirectionnelle afin d’établir une connexion sécurisée entre deux nœuds du réseau. Une fois qu’une connexion sécurisée est établie, le protocole anti-relecture utilise des numéros de séquence de paquets pour vaincre les attaques de relecture comme suit : lorsque la source envoie un message, elle ajoute un numéro de séquence à son paquet ; le nombre de séquence commence à 0 et est incrémenté par 1 pour chaque paquet suivant. La destination maintient un enregistrement « fenêtre coulissante » des numéros de séquence des paquets reçus validés; il rejette tous les paquets dont le nombre de séquences est inférieur au plus bas de la fenêtre coulissante (c.-à-d. trop vieux) ou qui apparaît déjà dans la fenêtre coulissante (c.-à-d. les doublons/rediffusions). Les paquets acceptés, une fois validés, mettent à jour la fenêtre coulissante (en déplaçant le nombre de séquence le plus bas par la fenêtre s’il était déjà plein).
- RFC 4303 - IP Encapsulation de la charge utile de sécurité ( ESP )
- RFC 6479 - IPsec Anti-Replay Algorithm sans Bit Shifting