Protegiéndose contra las exploraciones de puertos GCHQ: ¿Cómo funciona el sigilo de TCP?

La diferencia es que SPA tiene un paso de autenticación independiente que se realiza sobre un puerto UDP antes que se abre el puerto SSH. En TCP Stealth, la autenticación se realiza dentro de el paquete SYN que inicia una conexión con el servicio protegido.

Una ventaja de TCP Stealth es que no necesita realizar un seguimiento de qué puertos están "abiertos". Solo necesita realizar un seguimiento del estado como lo hace una pila TCP normal. Otra ventaja es que no es necesario instalar ninguna aplicación en los sistemas cliente cuando esto se generaliza. Simplemente estará integrado en todas las computadoras. Entonces, al conectarse a un recurso, podría decirle a su sistema operativo que incruste una contraseña en el paquete SYN.

Una tercera ventaja, dado que no se realiza un paso de autenticación fuera de banda, un enrutador NAT podría agregar fácilmente datos de autenticación a paquetes SYN específicos para realizar la autenticación de red a red (como si fuera un túnel VPN entre los enrutadores pero sin el encriptación). Esto proporcionaría acceso a un servicio específico a todas las computadoras detrás de un enrutador NAT específico. Lo mismo con SPA requeriría 2 intentos de conexión o un largo período de espera para conectarse.

En presencia de un adversario pasivo global, el secreto compartido en el número de secuencia es vulnerable a los ataques de repetición. Además, esto también es cierto en el caso de un hombre en el medio.