[LACNIC/Seguridad] Randomizacion de puertos en TCP
Fernando Gont
fernando en gont.com.ar
Sab Jun 2 20:55:54 BRT 2007
Anatoly,
>Hola Fernando acabo de leer así rápidamente tu
>draft sobre tu iniciativa, que es muy buena y
>que a mi personalmente se me paso por la cabeza,
>tu idea y la de tus colaboradores, me parece una
>buena iniciativa para nuestro ya famoso
>protocolo de comunicaciones que mal no le haría
>este nuevo parche por asi decirlo...
En este caso particular, yo lo veo como la
"definicion de una politica" mas que como un
parche. Desde mi perspectiva, parches son por
ejemplo SACK, los timestamps, y demas. Ya que
intentan solucionar problemas que se podrian
haber evitado en el diseño original del protocolo.
En el caso de la randomizacion de puertos, a
ciencia cierta la propia especificacion de TCP no
define ninguna politica de seleccion.
Simplemente, historicamente se ha venido haciendo
de una forma (seleccionando los numeros de puerto incrementalmente).
Nosotros proponemos lo que a nuestro entender es
una mejor politica de seleccion de puertos, que
sirve para prevenir ataques "ciegos".
>Sobretodo que sabemos que algoritmo de random de
>puertos ya esta disponible, tu planteas ponerle
>algo mas un secret key, mediante un algoritmo de
>hash, asegurando aun mas el tema...
El problema con el algoritmo de randomizacion
simple es que tiene implicancias negativas en
materia de interoperatividad (lease: si utilizas
ese algoritmo, hay veces que los intentos de conexion TCP pueden fallar).
>Algo más, creo que para la mayoría de usuarios
>de lacnic, quizas no entiendan o quizas yo no
>estoy entendiendo concretamente del todo... jjajajaja...
Por lo tecnico, o porque el draft esta en ingles?
>Te sugiero, si no es mucho... darnos al menos
>una alcance o resumen de tu propuesta quizas en
>el idioma correcto, y la importancia según tu
>punto de vista y de tu equipo de trabajo que desarrollaron este draft...
Okay. En un proximo mensaje mandare algo al respecto.
(El tema con el idioma del draft es que,
obviamente, la IETF requiere que los drafts esten
en ingles. Y digamos que traducir al espeañol
cada una de las versiones del draft llevaria
demasiado tiempo. Asimismo, en muchos casos la
lectura del drft requiere la consulta a
especificaciones.... que estan en ingles)
>Mis felicitaciones a todos los que están trabajando en esto...
Muchas gracias.
Saludos cordiales,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20070602/faaa9468/attachment.html>
Más información sobre la lista de distribución Seguridad