Комментарии 6
Я б не сказал, что это именно нарушение стандарта IPSEC. Это «свободное творчество» вендора, не имеющее к протоколу никакого отношения. Но забавно, да.
да ну, протокол явно предусматривает либо шифрование, либо аутентификацию, либо оба вместе. А тут ты вроде как vpn настраиваешь, а данные наружу лезут.
Они лезут после разрыва туннеля. IPSECа уже кагбэ и нет, действие стандарта закончено. Не?
После разрыва туннеля трафик должен дропатся, ибо удалённого конца нет. В этом смысл IPSEC.
Представь что ты льешь базу на хост по VPN, тут посредине появляется мальчик (man in the middle), рвёт соединение и, посмотрев кому идут пакеты, настраивает свой компик как удалённый шлюз. Мне страшно, если честно :)
Представь что ты льешь базу на хост по VPN, тут посредине появляется мальчик (man in the middle), рвёт соединение и, посмотрев кому идут пакеты, настраивает свой компик как удалённый шлюз. Мне страшно, если честно :)
Да ясен пень. Но стандарт IPSEC, по-моему, просто не учитывает это. Он описывает IKE, ESP, но не то, что после разрыва туннеля ЗАПРЕЩЕНО делать какие-то манипуляции с пакетами. Я ж не отрицаю кощунственное по отношению к безопасности поведение вендора, но не считаю, что это прямое нарушение стандарта. Поэтому утверждение этого юридически неверно.
З.Ы. Могу ошибаться, т.к. вчитываться в rfc лень, а мало ли.-)
З.Ы. Могу ошибаться, т.к. вчитываться в rfc лень, а мало ли.-)
Печально такое читать. Хотя я в какой то мере не удивлен, т.к данный маршрутизатор позиционируется на SOHO рынок и больше в сторону home office. Как говорится миксер-все-в-одном.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Фича» в IPSEC реализации VPN роутеров Draytek