Атрибут NoReplayProtection отключает защиту от Replay-атак..Данный атрибут может использоваться, чтобы избежать больших потерь пакетов из-за их упорядочивания при транспортировке.
Например, приоритезация трафика происходит после его шифрования. Приоритетный и неприоритетный трафики попадают в один IPsec-туннель. Это приводит к переупорядочиванию пакетов. На стороне ответчика при расшифровании срабатывает механизм защиты от replay-атак, что приводит к потерям пакетов. Для исключения данной ситуации и следует включить данный атрибут.
Синтаксис |
NoReplayProtection = TRUE | FALSE |
Значение |
TRUE – защита от Replay-атак отключена FALSE – защита от Replay-атак включена |
Значение по умолчанию |
FALSE |
Примечание |
При значении TRUE атрибут влияет только на SA, в которых обеспечивается контроль целостности данных. Контроль целостности данных обеспечивается алгоритмами, задаваемыми для SA в атрибуте IntegrityAlg, а также преобразованиями ESP_GOST-4M-IMIT, задаваемыми в атрибуте CipherAlg. Для SA, в которых отсутствует контроль целостности данных, защита от Replay-атак не обеспечивается и не может быть включена. Значение TRUE приводит к уязвимости –- атаке |