¿Por qué demonios alguien usaría la opción 'top secret' de IPv4?

El punto de los indicadores de clasificación es que les dice a los enrutadores qué pueden hacer con ellos. No verías banderas de clasificación en el internet abierto ya que son manejadas por redes privadas del gobierno. Sin embargo, lo que sí realizan los indicadores es permitir que los enrutadores dentro de la red del gobierno determinen si se debe permitir que un paquete se conecte a una red pública o menos segura sin tener que entender qué contiene el paquete.

Asegúrese de revisar la respuesta de Falcon Momot también. Tiene una excelente profundidad adicional.

La opción se define completamente y, finalmente, en RFC1108 , un RFC histórico que habría sido un seguimiento de estándares si hubiera tenido ese proceso Existía en ese momento. El soporte para ello sigue siendo anunciado por Cisco y Parece implícitamente que el DoD de EE. UU. todavía lo está utilizando para algo.

Dicho esto, no hay un equivalente aparente en IPv6 en absoluto, y nunca he visto esto implementado. Tampoco es un mecanismo particularmente útil para proteger datos, excepto que podría marcar el tráfico confidencial como no reembolsable, siempre que el dispositivo que de otro modo lo reenvíe sea compatible. Sin duda marcaría el tráfico como interesante, aunque es probable que haya mucho ruido y me imagino que no verías nada de eso a menos que estuvieras haciendo un seguimiento de paquetes en una red clasificada (en ese punto, bastante bien todo lo que ver será interesante).

Sin embargo, como marca de filtrado de paquetes, sin duda agregaría más seguridad de la que eliminaría. En general, es mucho más importante proteger los datos que ocultar los metadatos, y la seguridad por oscuridad no es seguridad en absoluto. Hay dos usos para él que puedo ver:

• Un enlace en una red clasificada transporta tráfico para múltiples grupos. Algunos dispositivos son miembros de algunos grupos pero no de otros; la relación es de muchos a muchos y los dispositivos separados para cada clasificación posible no serían prácticos. Sin embargo, la red tiene un intervalo de aire del resto del mundo y el mecanismo se utiliza como una línea de defensa adicional similar a una VLAN. Esto se implementa en un dispositivo que funciona como un conmutador de capa 3.
• Una red no se deja sin aire desde el mundo exterior por alguna razón operativa, y se desea una línea de defensa adicional contra la divulgación. La puerta de enlace del borde descarta todos los paquetes con una clasificación indicada.

A este respecto, y a la luz de la RFC, parece que es extremadamente similar a las VLAN sin la encapsulación, y proporciona tanto valor de seguridad.

Me gustaría saber, por la falta de actualizaciones al RFC en más de 10 años, y el soporte limitado y continuo para la especificación en el hardware actual, que, como tantas otras cosas en la TI del gobierno, ya no es un mecanismo preferido. , pero está en uso por ciertos sistemas heredados en una capacidad limitada.