¿Por qué demonios alguien usaría la opción 'top secret' de IPv4?

22

Por lo tanto, estaba leyendo RFC 791 y me interesé por las opciones ( aquí ). Todo parecía ser decente y sensato, hasta que llegué a la parte de 'niveles de seguridad'.

Ahora, puedo entender cómo, internamente, el DoD puede querer que sus paquetes tomen rutas especiales, pero al mismo tiempo, no utilizar una opción como esa simplemente alertaría a las personas de que este es el tráfico más valioso. intentar descifrar / rastrear (suponiendo, por supuesto, que alguien que envíe algo clasificado también tendría el sentido básico para cifrar la transmisión)?

¿Quién usaría esa capacidad de IP? ¿Por qué? ¿Cuándo sería útil para alguien que no sea un atacante que revisa mucha información?

... Además ...

Si escribiera un programa en red que etiquetara todos sus paquetes como "secreto", por ejemplo, ¿serían tratados de manera diferente cuando se enrutan a través de Internet a los paquetes etiquetados simplemente como "no clasificados" o "confidenciales"?

    
pregunta root 27.03.2013 - 21:47
fuente

2 respuestas

26

El punto de los indicadores de clasificación es que les dice a los enrutadores qué pueden hacer con ellos. No verías banderas de clasificación en el internet abierto ya que son manejadas por redes privadas del gobierno. Sin embargo, lo que sí realizan los indicadores es permitir que los enrutadores dentro de la red del gobierno determinen si se debe permitir que un paquete se conecte a una red pública o menos segura sin tener que entender qué contiene el paquete.

Asegúrese de revisar la respuesta de Falcon Momot también. Tiene una excelente profundidad adicional.

    
respondido por el AJ Henderson 27.03.2013 - 21:59
fuente
11

La opción se define completamente y, finalmente, en RFC1108 , un RFC histórico que habría sido un seguimiento de estándares si hubiera tenido ese proceso Existía en ese momento. El soporte para ello sigue siendo anunciado por Cisco y Parece implícitamente que el DoD de EE. UU. todavía lo está utilizando para algo.

Dicho esto, no hay un equivalente aparente en IPv6 en absoluto, y nunca he visto esto implementado. Tampoco es un mecanismo particularmente útil para proteger datos, excepto que podría marcar el tráfico confidencial como no reembolsable, siempre que el dispositivo que de otro modo lo reenvíe sea compatible. Sin duda marcaría el tráfico como interesante, aunque es probable que haya mucho ruido y me imagino que no verías nada de eso a menos que estuvieras haciendo un seguimiento de paquetes en una red clasificada (en ese punto, bastante bien todo lo que ver será interesante).

Sin embargo, como marca de filtrado de paquetes, sin duda agregaría más seguridad de la que eliminaría. En general, es mucho más importante proteger los datos que ocultar los metadatos, y la seguridad por oscuridad no es seguridad en absoluto. Hay dos usos para él que puedo ver:

  • Un enlace en una red clasificada transporta tráfico para múltiples grupos. Algunos dispositivos son miembros de algunos grupos pero no de otros; la relación es de muchos a muchos y los dispositivos separados para cada clasificación posible no serían prácticos. Sin embargo, la red tiene un intervalo de aire del resto del mundo y el mecanismo se utiliza como una línea de defensa adicional similar a una VLAN. Esto se implementa en un dispositivo que funciona como un conmutador de capa 3.
  • Una red no se deja sin aire desde el mundo exterior por alguna razón operativa, y se desea una línea de defensa adicional contra la divulgación. La puerta de enlace del borde descarta todos los paquetes con una clasificación indicada.

A este respecto, y a la luz de la RFC, parece que es extremadamente similar a las VLAN sin la encapsulación, y proporciona tanto valor de seguridad.

Me gustaría saber, por la falta de actualizaciones al RFC en más de 10 años, y el soporte limitado y continuo para la especificación en el hardware actual, que, como tantas otras cosas en la TI del gobierno, ya no es un mecanismo preferido. , pero está en uso por ciertos sistemas heredados en una capacidad limitada.

    
respondido por el Falcon Momot 04.10.2013 - 10:17
fuente

Lea otras preguntas en las etiquetas