[LACNIC/Seguridad] Randomizacion de puertos en TCP

Fernando Gont fernando en gont.com.ar
Sab Jun 2 20:55:54 BRT 2007


Anatoly,

>Hola  Fernando acabo de leer así rápidamente  tu 
>draft sobre tu iniciativa, que es muy buena y 
>que a mi personalmente se me paso por la cabeza, 
>tu idea y la de tus colaboradores, me parece una 
>buena iniciativa para nuestro ya famoso 
>protocolo de comunicaciones que mal no le haría 
>este nuevo parche por asi decirlo...

En este caso particular, yo lo veo como la 
"definicion de una politica" mas que como un 
parche. Desde mi perspectiva, parches son por 
ejemplo SACK, los timestamps, y demas. Ya que 
intentan solucionar problemas que se podrian 
haber evitado en el diseño original del protocolo.

En el caso de la randomizacion de puertos, a 
ciencia cierta la propia especificacion de TCP no 
define ninguna politica de seleccion. 
Simplemente, historicamente se ha venido haciendo 
de una forma (seleccionando los numeros de puerto incrementalmente).

Nosotros proponemos lo que a nuestro entender es 
una mejor politica de seleccion de puertos, que 
sirve para prevenir ataques "ciegos".



>Sobretodo que sabemos que algoritmo de random de 
>puertos ya esta disponible, tu planteas ponerle 
>algo mas un secret key, mediante un algoritmo de 
>hash, asegurando aun mas el tema...

El problema con el algoritmo de randomizacion 
simple es que tiene implicancias negativas en 
materia de interoperatividad (lease: si utilizas 
ese algoritmo, hay veces que los intentos de conexion TCP pueden fallar).



>Algo más, creo que para la mayoría de usuarios 
>de lacnic, quizas no entiendan o quizas yo no 
>estoy entendiendo concretamente del todo... jjajajaja...

Por lo tecnico, o porque el draft esta en ingles?



>Te sugiero, si no es mucho... darnos al menos 
>una alcance o resumen de tu propuesta quizas en 
>el idioma correcto, y la importancia según tu 
>punto de vista y de tu equipo de trabajo que desarrollaron este draft...

Okay. En un proximo mensaje mandare algo al respecto.

(El tema con el idioma del draft es que, 
obviamente, la IETF requiere que los drafts esten 
en ingles. Y digamos que traducir al espeañol 
cada una de las versiones del draft llevaria 
demasiado tiempo. Asimismo, en muchos casos la 
lectura del drft requiere la consulta a 
especificaciones.... que estan en ingles)



>Mis felicitaciones a todos los que están trabajando en esto...

Muchas gracias.

Saludos cordiales,

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1



------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20070602/faaa9468/attachment.html>


Más información sobre la lista de distribución Seguridad