Home
News
Questions
Cafés
Events
Press Releases
Companies
 
Request an Invitation

News

Other articles

Sunday 14 March 2010
Article  Cloud security assessment scheme launched
Sunday 14 March 2010
In Brief  Human element undermines encryption
Thursday 11 March 2010
Article  Digital privacy framework steps closer?
Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise
Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns
Wednesday 3 March 2010
Article  Cloud security threats identified by CSA
Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics
Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk
Monday 22 February 2010
Article  Most dangerous coding errors outed
Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update
Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise
Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers
Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID
Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2
Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Les VPN IPSec en danger ?

Written by Aurélien Cabezon (SecurityVibes)
Published on Friday 13 May 2005
0 comment(s) | Subnetwork France
 
| | Other Tools
Le NISCC (Nationnal Infrastructure Security Coordination Centre) émet un bulletin d'alerte visant le protocole IPSec utilisé notamment par de nombreuses solutions VPN en entreprises. La confidentialité des données véhiculées à travers un tunnel IPSec serait remise en question...
IPSec est une ensemble de protocoles développés par l'IETF qui a pour vocation d'établir des canaux communications sécurisés garantissant l'intégrité et la confidentialité des données véhiculées au niveau de la couche IP. IPSec est largement utilisé par les équipements VPN en entreprise.

Certaines configurations IPSec qui utilisent notamment l'ESP (Encapsulating Security Payload) ou AH (Authentication Header) seraient vulnérables à une attaque permettant d'intercepter les données en clair.

Un dogme s'effondre

La confidentialité des données véhiculées à travers un tunnel IPSec est donc remise en question. Un dogme s'effondre. D'après le NISCC, la vulnérabilité (CAN-2005-0039) a pu être démontrée en laboratoire au prix d'un effort "modéré". Bien sûr, l'attaque requiert que l'assaillant puisse intercepter les paquets IPSec sur le réseau.

Dans son bulletin d'alerte, le NISCC offre plusieurs préconisations afin de fixer temporairement la vulnérabilité en attendant un correctif de la part des éditeurs concernés par la faille. Le NISCC recommande notamment aux utilisateurs de solutions IPSec d'utiliser l'ESP en activant et en combinant la protection de confidentialité ainsi que la protection d'intégrité. L'émission de messages d'erreurs devrait également être désactivée ou filtrée (ICMP) au niveau du firewall.

L'alerte du NISCC
http://www.niscc.gov.uk/niscc/docs/al-20050509-00386.html?lang=en
Our members have posted 0 comments about this article. Only members can view and submit new comments.
Related contents
Advertising
Related Questions & Answers
Companies
Most commented
Most Popular
+
  
Related companies
 Trend Micro
Read members opinions and rate Trend Micro too !
Ratings  0
Arkoon Network Security
Read members opinions and rate Arkoon Network Security too !
Ratings  0
Kroll Ontrack
Read members opinions and rate Kroll Ontrack too !
Ratings  0
Nsit
Read members opinions and rate Nsit too !
Ratings  0
G Data Software Ag
Read members opinions and rate G Data Software Ag too !
Ratings  0
Search
Our RSS Feeds
Subscribe to our RSS feeds for free !
Social Web
Copyright 2010  -  Request an Invitation  -  FAQ  -  Terms of Service  -  Contact Us