英国国家基础设施安全协调中心(NISCC)在一篇安全公告中警告说，黑客“稍加努力”就可以利用互联网协议安全（IPsec）框架中的主要安全漏洞获得受IPsec保护的明文（plaintext）版本的通信信息。

　　位于美国马里兰州Bethesda市的SANS互联网风暴中心的负责人和位于华盛顿市的安全咨询公司Intel Guardians的创始人Ed Skoudis在电子邮件中称，这些问题是非常突出的，需要使用IPsec的人们尽快解决。这确实是一个大问题。

　　NISCC称，目前已经查出有三次攻击是通过对IPsec进行某些配置之后实施的。这个安全公告称，这些配置都以保密的信道传输模式或者以更高层协议提供的同一性保护模式使用封装安全有效负载(ESP)。某些使用认证报头（AH）的配置也存在安全漏洞。

　　NISCC说，在这些配置中，黑客可以修改IPsec packet的某些部分，造成明文内部信息包重新定向或者网络主机发布一个错误信息。在后一种情况下，这些错误信息是通过网际消息控制协议（ICMP）转发的。由于ICMP的设计，这些信息直接暴露了文件头部分和以明文格式发送的数据电文内部的负荷。截获ICMP信息的黑客随后就可以获得解密的明文数据。

　　NISCC把这个安全漏洞列为高危等级的安全漏洞，并且表示，已经出现了利用这种安全漏洞实施的攻击，显示了在现实情况下这种攻击是有效的。

　　据安全网站SearchSecurity.com的姊妹网站Whatis.com介绍，IPsec框架是在网络或者网络通信的数据包处理层中的一套安全协议。此外，IPsec框架还应用于虚拟专用网，允许安全的远程用户通过拨号连接接入专用网络。IPsec最大的好处是不需要改变单个的计算机就可以处理安全协议。

　　IPsec提供了两种安全服务选择：第一种是认证报头（AH）服务。这种服务实际上是允许对发送者的数据进行身份识别。第二种是封装安全有效负载(ESP)服务。这项服务支持对发送者和加密的数据都进行身份识别。在IP数据包的报头之后的数据包中将嵌入与这两种服务有关的具体信息。

　　网络巨头思科系统公司是大力主张IPsec作为一项标准的公司之一，并且在其路由器中支持IPsec协议。

　　NISCC表示，采取如下措施可以解决这个问题：1.配置ESP以便同时使用机密性和完整性保护，这是建议的解决方案。2.同ESP一起使用AH协议，以提供完整性保护。然而NISCC称，这样做必须要谨慎。例如,在AH处于传输模式时使用端对端的配置或者在ESP中设置信道传输模式仍会受到攻击。3.消除错误报告。消除的方法是限制ICMP信息或者通过防火墙和安全网关过滤这些信息。

翻译：东缘