Perché mai qualcuno dovrebbe utilizzare l'opzione "top secret" di IPv4?

22

Quindi, stavo leggendo RFC 791 e ho preso in considerazione le opzioni ( qui ). Tutto sembrava essere decente e ragionevole, fino a quando non sono arrivato alla parte dei "livelli di sicurezza".

Ora capisco come, internamente, il Dipartimento della Difesa potrebbe desiderare che i pacchetti prendano rotte speciali, ma allo stesso tempo, non usando un'opzione del genere, semplicemente avvisare le persone che, hey, questo è il traffico più utile provare a decodificare / tracciare (presumendo, ovviamente, che qualcuno che invia qualcosa di classificato abbia anche il senso fondamentale di crittografare la trasmissione)?

Chi userebbe quella capacità di IP? Perché? Quando sarebbe utile a chiunque altro che un attaccante setacciare molte informazioni?

... Inoltre ...

Se scrivessi un programma in rete che etichettasse tutti i suoi "segreti" dei pacchetti, ad esempio, sarebbero trattati in modo diverso durante il routing su Internet di pacchetti etichettati semplicemente "non classificati" o "riservati"?

    
posta root 27.03.2013 - 21:47
fonte

2 risposte

26

Il punto delle bandiere di classificazione è che dice ai router cosa sono autorizzati a fare con esso. Non si vedrebbero le bandiere di classificazione su Internet aperto poiché sono gestite da reti governative private. Tuttavia, ciò che i flag eseguono è consentire ai router all'interno della rete governativa di determinare se un pacchetto deve essere autorizzato a collegarsi a una rete pubblica o meno sicura senza dover capire cosa si trova all'interno del pacchetto.

Assicurati di controllare anche la risposta di Falcon Momot . Ha un'eccellente profondità aggiuntiva.

    
risposta data 27.03.2013 - 21:59
fonte
11

L'opzione è definita completamente e infine in RFC1108 , una RFC storica che sarebbe stata standard-track aveva quel processo esisteva al momento. Il supporto è ancora pubblicizzato da Cisco e sembra implicito che il Dipartimento della Difesa statunitense lo stia ancora usando per qualcosa.

Detto questo, non vi è alcun equivalente apparente in IPv6 e non l'ho mai visto una volta installato. Inoltre, non è un meccanismo particolarmente utile per proteggere i dati, tranne per il fatto che potrebbe segnalare che il traffico sensibile è insostenibile a condizione che il dispositivo che altrimenti lo inoltrerà sia conforme. Sicuramente segnalerebbe il traffico come interessante, anche se è probabile che ci sia un sacco di rumore e immagino che non lo vedreste mai a meno che non stiate facendo una traccia di pacchetti su una rete classificata (a quel punto abbastanza bene tutto voi vedere sarà interessante).

Tuttavia, come marchio di filtraggio dei pacchetti, sicuramente aggiungerebbe più sicurezza di quanto non eliminerebbe. In generale, è molto più importante proteggere i dati che nascondere i metadati, e la sicurezza dall'oscurità non è affatto una sicurezza. Ci sono due usi che posso vedere:

  • Un collegamento su una rete classificata porta traffico per più gruppi. Alcuni dispositivi sono membri di alcuni gruppi ma non di altri; la relazione è molti-a-molti e dispositivi separati per ogni possibile classificazione sarebbero poco pratici. Tuttavia, la rete è airgapped dal resto del mondo e il meccanismo viene utilizzato come linea di difesa aggiuntiva simile a una VLAN. Questo è implementato in un dispositivo che funziona come un interruttore di livello 3.
  • Una rete non viene trasmessa dal mondo esterno per qualche ragione operativa e si desidera una linea di difesa aggiuntiva contro la divulgazione. Il gateway di frontiera elimina tutti i pacchetti con una classificazione indicata.

Sotto questi aspetti, e alla luce della RFC, sembra che sia estremamente simile alle VLAN senza l'incapsulamento e fornisce un valore di sicurezza equivalente.

Raccoglierei, dalla mancanza di aggiornamenti alla RFC in oltre 10 anni e dal continuo supporto limitato per le specifiche nell'hardware corrente, che come tante altre cose nell'IT governativa, non è più un meccanismo preferito , ma è in uso da alcuni sistemi legacy in qualche capacità limitata.

    
risposta data 04.10.2013 - 10:17
fonte

Leggi altre domande sui tag