پشتیبانی Cloudflare از افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH برای محافظت از تونلهای IPsec در برابر حملات کاهش سطح امنیت
شرکت Cloudflare به تازگی پشتیبانی از افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH در پروتکل IKEv2 را برای تونلهای IPsec خود فعال کرده است. این افزونه با هدف مقابله با حملات کاهش سطح امنیت (downgrade attacks) در تونلهای IPsec طراحی شده و به ویژه در برابر تهدیدات ناشی از حملات کوانتومی توانمند محافظت میکند.
پروتکل IKEv2 که برای برقراری ارتباطات امن در شبکههای IPsec استفاده میشود، در طراحی اولیه خود تنها به امضای پیامهای خروجی هر نقطه انتهایی اکتفا میکرد و کل متن دستدادن (handshake transcript) را امضا نمیکرد. این موضوع باعث میشد که یک مهاجم با قابلیتهای کوانتومی که در مسیر ارتباط قرار دارد، بتواند با کاهش سطح امنیت ارتباط، پروتکل را به سمت رمزنگاری کلاسیک هدایت کند و بدین ترتیب از کلیدهای پساکوانتومی عبور کند.
افزونه IKE_SA_INIT_FULL_TRANSCRIPT_AUTH این مشکل را با الزام هر دو طرف ارتباط به امضای کامل متن دستدادن در طول فرآیند احراز هویت برطرف میکند. به این ترتیب، هرگونه دستکاری در مذاکرات توسط مهاجم به سرعت آشکار میشود و امکان کاهش سطح امنیت وجود نخواهد داشت.
این ویژگی در حال حاضر به صورت نسخه بتا برای تونلهای IPsec در سرویسهای Cloudflare WAN و Magic Transit ارائه شده است. در این حالت، Cloudflare به عنوان پاسخدهنده (responder) به طور پیشفرض اعلان IKE_SA_INIT_FULL_TRANSCRIPT_AUTH را ارسال میکند، البته در صورتی که این قابلیت در حساب کاربری فعال شده باشد.
برای اینکه حفاظت در برابر کاهش سطح امنیت به درستی انجام شود، هر دو طرف ارتباط یعنی دستگاه آغازکننده (initiator) و Cloudflare باید از این افزونه پشتیبانی کنند. همچنین این قابلیت به صورت محدود و تحت کنترل پرچم ویژگی (feature flag) در حسابهای کاربری ارائه میشود و کاربران برای فعالسازی آن باید با تیم پشتیبانی حساب خود تماس بگیرند.
این اقدام Cloudflare گامی مهم در جهت افزایش امنیت تونلهای IPsec در برابر تهدیدات پیشرفته به ویژه حملات کوانتومی محسوب میشود و میتواند به حفظ محرمانگی و یکپارچگی دادهها در شبکههای سازمانی کمک شایانی کند. با توجه به رشد روزافزون توانمندیهای مهاجمان و پیشرفت فناوریهای کوانتومی، بهروزرسانیهای امنیتی از این دست اهمیت ویژهای پیدا کردهاند.
در نهایت، کاربران و سازمانهایی که از تونلهای IPsec Cloudflare استفاده میکنند، توصیه میشود برای بهرهمندی از این قابلیت جدید و افزایش سطح امنیت ارتباطات خود، با تیم پشتیبانی Cloudflare تماس گرفته و فعالسازی این افزونه را درخواست نمایند. همچنین لازم است که دستگاههای آغازکننده ارتباط نیز از این افزونه پشتیبانی کنند تا حفاظت کامل فراهم گردد.
با توجه به اینکه این ویژگی هنوز در مرحله بتا قرار دارد، انتظار میرود در آینده نزدیک شاهد بهبودها و گسترش پشتیبانی آن در سرویسهای مختلف Cloudflare باشیم. این روند نشاندهنده توجه ویژه Cloudflare به امنیت شبکه و مقابله با تهدیدات نوظهور است.