Атрибут NoReplayProtection

Атрибут NoReplayProtection отключает защиту от Replay-атак. Данный атрибут может использоваться, чтобы избежать больших потерь пакетов из-за их упорядочивания при транспортировке.

Например, приоритезация трафика происходит после его шифрования. Приоритетный и неприоритетный трафики попадают в один IPsec-туннель. Это приводит к переупорядочиванию пакетов.

На стороне ответчика при расшифровании срабатывает механизм защиты от replay-атак, что приводит к потерям пакетов. Для исключения данной ситуации и следует включить данный атрибут.

Синтаксис

NoReplayProtection = TRUE | FALSE

Значение

      TRUE – защита от Replay-атак отключена;

      FALSE – защита от Replay-атак включена.

Значение по

умолчанию

FALSE

Примечание

При значении TRUE атрибут влияет только на SA, в которых обеспечивается контроль целостности данных.

Контроль целостности данных обеспечивается алгоритмами, задаваемыми для SA в атрибуте IntegrityAlg, а также преобразованиями ESP_GOST-4M-IMIT, задаваемыми в атрибуте CipherAlg.

Для SA, в которых отсутствует контроль целостности данных, защита от Replay-атак не обеспечивается и не может быть включена.

Значение TRUE приводит к уязвимости – атаке.