1. ESP会存在不适用的情况吗?为什么?
存在。因为ESP提供的认证服务范围要小于AH,在ESP头部以前的IP头是不会被认证保护的,而AH认证了几乎所有的IP报文。所以ESP协议则必须要有认证机制的配合,才能起作用。如果没有相应的认证机制,则ESP就不适用。
2. IPSec协议是否存在安全漏洞?
封装安全负载漏洞:如果IPSec配置部署了tunnel模式的封装安全负载(ESP)而没有使用认证首部(AH)保护报文完整性的话,就可能对IPSec协议发动某些攻击。如果使用AH的话也可能对IPSec发动攻击,但仅限于某些未知的配置。漏洞起因是上述配置的ESP没有对ESP报文负载进行完整性检查。攻击者可以利用这个漏洞获取泄漏的明文IP数据报和敏感信息,进而导致进一步的攻击。
所以说,在IPSec的实际应用中,无论是单纯的认证服务还是单纯的加密服务,其安全保护都是很片面的。如果使用没有加密的认证,即在传输时使用明文,那么就有可能产生第三者截包和数据泄露的问题,对一些重要的单位和部门来说这无疑将产生一种灾难性的后果。如果使用没有认证的加密,由于加密和解密都要消耗大量的系统资源,对于数据包接收方来说,当收到来自第三方恶意修改后的大量的数据包时,不能辨别其真伪而一味地去进行解密,这势必会消耗网络系统的大量资源,使系统性能急剧下降,甚至导致网络系统崩溃而终止服务。
因篇幅问题不能全部显示,请点此查看更多更全内容