offuscamento dell'indirizzo IP [chiuso]

-5

L'offuscamento dell'indirizzo IP è un approccio ben noto (ad esempio, MLA
Kewley, Dorene, et al. "Approcci dinamici per contrastare la raccolta di informazioni sugli avversari.") L'approccio suggerito, è utilizzato principalmente in reti con indirizzi IP statici. Sto cercando di capire perché non funzionerà in una rete con la traduzione dinamica degli indirizzi. Se oscurerò l'indirizzo IP in ogni pacchetto Inoltre, confonderò l'indirizzo IP e criptico il carico utile dei pacchetti dal server DHCP ai client e viceversa.

    
posta MissRob 12.04.2018 - 14:56
fonte

1 risposta

2

Il protocollo DHCP stesso non è stato progettato per avere la crittografia ed è un protocollo molto basilare di short DISCOVER - > OFFER & REQUEST - > % pacchettiACKNOWLEDGE. In particolare, SSL / TLS non funzionerebbe, poiché anche la negoziazione di tale connessione richiederebbe l'utilizzo anticipato del DHCP. Inoltre, non è possibile aggiungere semplicemente un po 'di crittografia, poiché nessuno avrebbe un'implementazione che supporti questo, e sarebbe difficile modificarli separatamente su ogni dispositivo.

Ci sono stati alcuni tentativi per proteggere ARP, per autenticare richieste DHCP usando 802.1x, e persino per implementare EAP in DHCP (EAPoDHCP), ma quelli erano tutti solo bozze e non c'è stato alcun lavoro relativo a questo ultimamente. È interessante leggere, tuttavia, ad esempio:

  • Proteggi il protocollo di risoluzione degli indirizzi unicast (S-UARP) estendendo il DHCP
    di B. Issac; L.A. Mohammed; DOI: 10.1109 / ICON.2005.1635503

  • Proteggi i protocolli ARP e Secure DHCP per attenuare gli attacchi di sicurezza [ PDF ]
    di Biju Issac; International Journal of Network Security, Vol.8, No.2, pp.107-118, marzo 2009

Inoltre, tutte queste proposte erano principalmente per autenticare le richieste DHCP, non per codificarle . Questo perché nessuno ha mai considerato le coppie di lease MAC e DHCP come informazioni che dovrebbero essere nascoste da chiunque possa catturare quei pacchetti.

Il motivo per cui tali proposte non sono mai state ampiamente accettate è stata la mancanza di domanda: la moderna sicurezza di rete si basa sulla creazione di riservatezza e integrità a un livello superiore. Anche in presenza di un server DHCP canaglia o di client non autorizzati, tecnologie come DNSSEC e HTTPS impediscono loro di causare una vera minaccia fornendo catene di fiducia indipendenti di livello inferiore.

    
risposta data 12.04.2018 - 15:53
fonte

Leggi altre domande sui tag