Passa al contenuto principale

15. Security Considerations (Considerazioni sulla sicurezza)

15. Security Considerations (Considerazioni sulla sicurezza)

La compressione delle intestazioni di per sé non introduce nuovi problemi di sicurezza. Tuttavia, occorre considerare i punti seguenti:

Denial of service (negazione del servizio)

Un attaccante potrebbe tentare di esaurire lo spazio di contesto del compressore o del decompressore inviando molti flussi di pacchetti diversi. Questo può essere mitigato limitando il numero di flussi che possono essere compressi simultaneamente.

Un attaccante potrebbe anche tentare di esaurire la memoria del contesto inviando pacchetti con molte intestazioni di estensione. Questo può essere mitigato limitando la lunghezza massima delle intestazioni memorizzate nel contesto (vedere il parametro MAX_HEADER).

Context hijacking (dirottamento del contesto)

Un attaccante potrebbe tentare di dirottare un contesto esistente inviando pacchetti con lo stesso CID. Questo può accadere solo se l'attaccante ha accesso al link. In tale caso, l'attaccante può già leggere o modificare tutto il traffico, quindi la compressione delle intestazioni non peggiora la situazione.

IPsec considerations (considerazioni su IPsec)

Quando la compressione delle intestazioni viene usata con IPsec, è necessaria particolare attenzione. L'Authentication Header (AH) di IPsec protegge l'intero pacchetto IP, inclusa l'intestazione IP. Se l'intestazione IP viene compressa, AH non potrà verificare il pacchetto.

Una soluzione consiste nell'applicare la compressione delle intestazioni agli endpoint del tunnel IPsec, cioè dopo o prima dell'elaborazione IPsec. Un'altra soluzione consiste nell'usare IPsec Encapsulating Security Payload (ESP) invece di AH, poiché ESP non protegge l'intestazione IP esterna.