Атрибут NoReplayProtection отключает защиту от Replay-атак. Данный атрибут может использоваться, чтобы избежать больших потерь пакетов из-за их упорядочивания при транспортировке.
Например, приоритезация трафика происходит после его шифрования. Приоритетный и неприоритетный трафики попадают в один IPsec-туннель. Это приводит к переупорядочиванию пакетов.
На стороне ответчика при расшифровании срабатывает механизм защиты от replay-атак, что приводит к потерям пакетов. Для исключения данной ситуации и следует включить данный атрибут.
Синтаксис |
NoReplayProtection = TRUE | FALSE |
Значение |
• TRUE – защита от Replay-атак отключена; • FALSE – защита от Replay-атак включена. |
Значение по умолчанию |
FALSE |
Примечание |
При значении TRUE атрибут влияет только на SA, в которых обеспечивается контроль целостности данных. Контроль целостности данных обеспечивается алгоритмами, задаваемыми для SA в атрибуте IntegrityAlg, а также преобразованиями ESP_GOST-4M-IMIT, задаваемыми в атрибуте CipherAlg. Для SA, в которых отсутствует контроль целостности данных, защита от Replay-атак не обеспечивается и не может быть включена. Значение TRUE приводит к уязвимости – атаке. |