Mit der Replay-Detection beinhaltet der IPsec-Standard eine Möglichkeit, sogenannte Replay-Attacken zu erkennen. Bei einer Replay-Attacke sendet eine Station die zuvor unberechtigt protokollierten Daten an eine Gegenstelle, um eine andere als die eigene Identität vorzutäuschen.
Die Idee der Replay-Detection besteht darin, eine bestimmte Anzahl von aufeinander folgenden Paketen zu definieren (ein "Fenster" mit der Länge "n"). Da der IPSec-Standard die Pakete mit einer fortlaufenden Sequenznummer versieht kann das empfangene VPN-Gerät feststellen, ob ein Paket eine Sequenznummer aus dem zulässigen Fensters trägt. Wenn z. B. die aktuell höchste empfangene Sequenznummer 10.000 lautet bei einer Fensterbreite von 100, dann liegt die Sequenznummer 9.888 außerhalb des erlaubten Fensters.
Die Replay-Detection verwirft emfpangene Pakete dann, wenn sie entweder:
- eine Sequenznummer vor dem aktuellen Fenster tragen, in diesem Fall betrachtet die Replay-Detection als zu alt, oder
- eine Sequenznummer tragen, welche das VPN-Gerät zuvor schon einmal empfangen hat, in diesem Fall wertet die Replay-Detection dieses Paket als Teil einer Replay-Attacke
Bitte beachten Sie bei der Konfiguration des Fensters für die Replay-Detection folgende Aspekte:
- wenn Sie das Fenster zu groß wählen, übersieht die Replay-Detection möglicherweise eine aktuell von einem Angreifer ausgeführte Replay-Attacke
- wenn Sie das Fenster zu klein wählen, verwirft die Replay-Detection aufgrund einer während der Datenübertragung geänderten Paketreihenfolge möglicherweise rechtmäßige Pakete und erzeugt so Störungen in der VPN-Verbindung