پشتیبانی Cloudflare از افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH برای محافظت از تونل‌های IPsec در برابر حملات کاهش سطح امنیت

پشتیبانی Cloudflare از افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH برای محافظت از تونل‌های IPsec در برابر حملات کاهش سطح امنیت

شرکت Cloudflare به تازگی پشتیبانی از افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH در پروتکل IKEv2 را برای تونل‌های IPsec خود فعال کرده است. این افزونه با هدف مقابله با حملات کاهش سطح امنیت (downgrade attacks) در تونل‌های IPsec طراحی شده و به ویژه در برابر تهدیدات ناشی از حملات کوانتومی توانمند محافظت می‌کند.

پروتکل IKEv2 که برای برقراری ارتباطات امن در شبکه‌های IPsec استفاده می‌شود، در طراحی اولیه خود تنها به امضای پیام‌های خروجی هر نقطه انتهایی اکتفا می‌کرد و کل متن دست‌دادن (handshake transcript) را امضا نمی‌کرد. این موضوع باعث می‌شد که یک مهاجم با قابلیت‌های کوانتومی که در مسیر ارتباط قرار دارد، بتواند با کاهش سطح امنیت ارتباط، پروتکل را به سمت رمزنگاری کلاسیک هدایت کند و بدین ترتیب از کلیدهای پساکوانتومی عبور کند.

افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH این مشکل را با الزام هر دو طرف ارتباط به امضای کامل متن دست‌دادن در طول فرآیند احراز هویت برطرف می‌کند. به این ترتیب، هرگونه دستکاری در مذاکرات توسط مهاجم به سرعت آشکار می‌شود و امکان کاهش سطح امنیت وجود نخواهد داشت.

این ویژگی در حال حاضر به صورت نسخه بتا برای تونل‌های IPsec در سرویس‌های Cloudflare WAN و Magic Transit ارائه شده است. در این حالت، Cloudflare به عنوان پاسخ‌دهنده (responder) به طور پیش‌فرض اعلان IKE_SA_INIT_FULL_TRANSCRIPT_AUTH را ارسال می‌کند، البته در صورتی که این قابلیت در حساب کاربری فعال شده باشد.

برای اینکه حفاظت در برابر کاهش سطح امنیت به درستی انجام شود، هر دو طرف ارتباط یعنی دستگاه آغازکننده (initiator) و Cloudflare باید از این افزونه پشتیبانی کنند. همچنین این قابلیت به صورت محدود و تحت کنترل پرچم ویژگی (feature flag) در حساب‌های کاربری ارائه می‌شود و کاربران برای فعال‌سازی آن باید با تیم پشتیبانی حساب خود تماس بگیرند.

این اقدام Cloudflare گامی مهم در جهت افزایش امنیت تونل‌های IPsec در برابر تهدیدات پیشرفته به ویژه حملات کوانتومی محسوب می‌شود و می‌تواند به حفظ محرمانگی و یکپارچگی داده‌ها در شبکه‌های سازمانی کمک شایانی کند. با توجه به رشد روزافزون توانمندی‌های مهاجمان و پیشرفت فناوری‌های کوانتومی، به‌روزرسانی‌های امنیتی از این دست اهمیت ویژه‌ای پیدا کرده‌اند.

در نهایت، کاربران و سازمان‌هایی که از تونل‌های IPsec Cloudflare استفاده می‌کنند، توصیه می‌شود برای بهره‌مندی از این قابلیت جدید و افزایش سطح امنیت ارتباطات خود، با تیم پشتیبانی Cloudflare تماس گرفته و فعال‌سازی این افزونه را درخواست نمایند. همچنین لازم است که دستگاه‌های آغازکننده ارتباط نیز از این افزونه پشتیبانی کنند تا حفاظت کامل فراهم گردد.

با توجه به اینکه این ویژگی هنوز در مرحله بتا قرار دارد، انتظار می‌رود در آینده نزدیک شاهد بهبودها و گسترش پشتیبانی آن در سرویس‌های مختلف Cloudflare باشیم. این روند نشان‌دهنده توجه ویژه Cloudflare به امنیت شبکه و مقابله با تهدیدات نوظهور است.

درباره مدیر سیستم

مانتیک، ارائه دهنده فضایی برای دانلود قالب پاورپوینت، گوگل اسلاید، کی‌نوت، موکاپ، طرح های وکتور، طرح های ایلاستریتور، قالب سایت، بروشور، فایل های فتوشاپ، براش و