Estoy buscando opciones para asegurar el tráfico UDP (principalmente video en tiempo real) en una red inalámbrica (802.11). ¿Alguna sugerencia aparte de Datagram Transport Layer Security (DTLS)?Opciones para asegurar el tráfico UDP
Gracias.
Puede examinar ssh con el reenvío de puertos. Esto tiene el costo de mantener una conexión TCP sobre la cual se puede asegurar el tráfico UDP.
Queremos evitar el uso de cualquier conexión TCP debido a la naturaleza ad hoc de la red. –
Dependiendo de los requisitos de intercambio de claves, podría ser tan simple como usar blowfish en la carga de cada paquete UDP con una clave compartida. Es liviano y no carga mucho la CPU en ninguno de los extremos. –
Primero que todo blowfish es viejo, twofish es la próxima versión. Además, las cifras de bloques son difíciles de implementar correctamente. En ese momento, ¿por qué no utilizar la implementación twofish de dtls? – rook
Debe ser más claro acerca de los ataques contra los que intenta defenderse. Por ejemplo, si su única preocupación es la suplantación, puede usar un Diffie–Hellman key exchange para transferir un secreto entre 2 partes. Entonces este secreto se puede usar para generar un Message Authentication Code para cada paquete.
Si necesita más protección I fuertemente recomendamos usar DTLS. Debe tenerse en cuenta que todas las conexiones TLS/SSL se pueden reanudar para que pueda reducir la cantidad de apretones de manos. Además, los certificados son gratuitos.
Un intercambio de clave DH sería vulnerable a un ataque MITM activo y no podría confiar en él para autenticar paquetes. –
@Chris Clark tienes razón, esta es la razón por la cual ssl también usa crypto asimétrico. – rook
¿Has considerado IPSEC? Este article proporciona una buena guía sobre cuándo y cuándo no usarlo.
¿Está tratando de envolver una aplicación existente o escribir la suya propia? ¿Qué configuración de servidor de cliente tienes? ¿Quieres evitar el espionaje o la manipulación?
Estoy asumiendo aquí que
El enfoque simple es utilizar cualquiera de la encriptación auto fuerte. Para evitar la manipulación, utilice cualquier algoritmo de canto con un esquema de clave privada/pública. Como cuestión de hecho, puede usar el mismo par de claves para el cifrado y la autenticación.
El inconveniente de este enfoque es que está en la capa 7 y usted tiene que hacer la mayor parte del trabajo por su cuenta. Por otro lado, DTLS es una opción viable ...
@Justin Ethier wpa es fácil de romper (http://www.renderlab.net/projects/WPA-tables/). – rook
@The Rook: solo usa una tecla fuerte? Cualquier cosa con una contraseña débil es generalmente fácil de romper. –
@Longpoke están usando un ataque de diccionario, pero no es una bala de plata. TLS/SSL/DTLS es más seguro que wpa. – rook