Protegiéndose contra las exploraciones de puertos GCHQ: ¿Cómo funciona el sigilo de TCP?

3

Hoy leí la primera vez acerca de un borrador de TCP Stealth que debería servir como protección contra el escaneo de vulnerabilidades GCHQ y NSA (Fuente: enlace ):

La propuesta modifica el protocolo de enlace de tres vías TCP al aceptar solo conexiones de clientes que transmiten una prueba de conocimiento de un secreto compartido. Si el intento de conexión no utiliza TCP Stealth, o si falla la autenticación, el servidor actúa como si no hubiera ningún servicio escuchando en el número de puerto. (Fuente: enlace )

* ¿Cuáles son las diferencias entre TCP Stealth y la autorización de un solo paquete?

* ¿Cuáles son las ventajas de TCP Stealth en comparación con la Autorización de paquete único?

    
pregunta Jon 20.10.2014 - 00:18
fuente

2 respuestas

4

La diferencia es que SPA tiene un paso de autenticación independiente que se realiza sobre un puerto UDP antes que se abre el puerto SSH. En TCP Stealth, la autenticación se realiza dentro de el paquete SYN que inicia una conexión con el servicio protegido.

Una ventaja de TCP Stealth es que no necesita realizar un seguimiento de qué puertos están "abiertos". Solo necesita realizar un seguimiento del estado como lo hace una pila TCP normal. Otra ventaja es que no es necesario instalar ninguna aplicación en los sistemas cliente cuando esto se generaliza. Simplemente estará integrado en todas las computadoras. Entonces, al conectarse a un recurso, podría decirle a su sistema operativo que incruste una contraseña en el paquete SYN.

Una tercera ventaja, dado que no se realiza un paso de autenticación fuera de banda, un enrutador NAT podría agregar fácilmente datos de autenticación a paquetes SYN específicos para realizar la autenticación de red a red (como si fuera un túnel VPN entre los enrutadores pero sin el encriptación). Esto proporcionaría acceso a un servicio específico a todas las computadoras detrás de un enrutador NAT específico. Lo mismo con SPA requeriría 2 intentos de conexión o un largo período de espera para conectarse.

    
respondido por el sebastian nielsen 20.10.2014 - 07:49
fuente
2

En presencia de un adversario pasivo global, el secreto compartido en el número de secuencia es vulnerable a los ataques de repetición. Además, esto también es cierto en el caso de un hombre en el medio.

    
respondido por el Fred Concklin 20.10.2014 - 21:06
fuente

Lea otras preguntas en las etiquetas