home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / tcpip / 4281 < prev    next >
Encoding:
Internet Message Format  |  1992-09-02  |  2.5 KB
  1. Path: sparky!uunet!elroy.jpl.nasa.gov!swrinde!network.ucsd.edu!ucsbcsl!spectrum.CMC.COM!lars
  2. From: lars@spectrum.CMC.COM (Lars Poulsen)
  3. Newsgroups: comp.protocols.tcp-ip
  4. Subject: Re: Secure TCP-IP
  5. Message-ID: <1992Sep3.041238.14958@spectrum.CMC.COM>
  6. Date: 3 Sep 92 04:12:38 GMT
  7. References: <1992Aug28.083228.16663@hplb.hpl.hp.com>
  8. Organization: CMC Network Systems (Rockwell DCD), Santa Barbara, CA, USA
  9. Lines: 37
  10.  
  11. In article <1992Aug28.083228.16663@hplb.hpl.hp.com>
  12.    paola@hplb.hpl.hp.com (paola fulchignoni) writes:
  13. >Does anyone know whether a "secure TCP" or "secure IP" exist (providing
  14. >security
  15. >services such as access control, source authentication, integrity, etc.)?
  16.  
  17. To secure traffic at the IP level requires a trusted physical network.
  18. The military people have made some efforts in this direction, and some
  19. of these efforts have been picked up by the financial community.
  20. Esentially, you put a transmogrifier (authenticator/encryptor) between
  21. your machine and the real network. The machines on the "red" side of the
  22. encryptor box now form a closed network of trusted hosts, and the boxes
  23. may optionally talk to a central control center which may potetially
  24. open windows to talk to specific hosts attached directly to the
  25. underlying insecure "black" network in a controlled manner. Such boxes
  26. have been seen between a host's X.25/V.35 connector and the CSU/DSU.
  27. They have also been spotted between the host's ethernet AUI connector
  28. and its transceiver.  This technology is expensive. And of course you
  29. have to trust the people who sold you the box.
  30.  
  31. The transport level could easily be modified to perform an
  32. authentication handshake with a control center at connection startup
  33. time, but then (of course) it would not be TCP any more. The US Air
  34. Force has done some studies of variations of this concept. (Mostly with
  35. parallel protocol modules sitting ARP-like between TCP and IP). I don't
  36. think this has led to any large scale implementation.
  37.  
  38. Most people put this in the application layer. Maybe the best known
  39. example is Kerberos. There is also work being done on a secure RPC
  40. mechanism, and thus a secure NFS. Several workstation vendors have
  41. formed a Trusted Systems Interoperability Group to ensure that the
  42. multiple implementations of this spec really will be interoperable.
  43. TSIG is loosely affiliated with IETF. HP is a major participant.
  44. -- 
  45. / Lars Poulsen, SMTS Software Engineer    Internet E-mail: lars@CMC.COM
  46.   CMC Network Products / Rockwell Int'l    Telephone: +1-805-968-4262    
  47.   Santa Barbara, CA 93117-3083        TeleFAX:   +1-805-968-8256
  48.