[IRC-DEV] Re: Cifrado entre servidores
RoMaNSoFt
r0man at phreaker.net
Fri Aug 23 03:59:06 CEST 2002
On Fri, 23 Aug 2002 00:17:18 +0100, you wrote:
>LZ, se entiende que el admin del servidor no es una persona "maliciosa" que
>se ponga a modificar codigo para leerlo, (yo no defiendo el cifrado entre
>servidores que conste...), pero el autor del post se refiere a que los datos
>que viajen servidor <-> servidor vayan encriptados evitando asi que los hop
>que hagan los datos puedan ser leidos, pero como ya he explicado en el mail
>anterior, se pueden leer perfectamente. Incluso me atreveria aventurar que
>los datos cliente <-> servidor hacen muchos mas hops que los de servidor <->
>servidor (+hops, mas facil que pueda existir una persona que los lea).
La encriptación servidor-servidor daría un nivel más de seguridad,
pero en la práctica lo veo un poco inútil si no se implementa en
paralelo la encriptación cliente-servidor. De hecho, veo mucho más
crítico el eslabón cliente-servidor; imaginad a alguien que se conecta
al irc como hasta ahora (=sin encriptación) desde un ciber, desde la
uni, desde el trabajo... en todos los casos sería trivial para el
admin o incluso para otro usuario del mismo segmento de red sniffar la
conexión y obtener, sin ir más lejos, su password de nick/nick2 (razón
por la cual nunca me autentificaría desde lugares inseguros como los
citados anteriormente).
La posibilidad de añadir esta última encriptación (cliente-servidor)
ya se la comenté hace no demasiado tiempo a jcea en privado y su
respuesta, si no recuerdo mal, fue que sería bastante costosa tanto en
términos de implementación como en el lado del servidor (el
handshaking SSL, etc) y que usara Bulletproof si quería privacidad.
Bien, aunque esta última opción no es mala para temas de privacidad no
resuelve el problema de que alguien te pueda sniffar tu password de
nick/nick2/chan, ya que Bulletproof implementa encriptación
cliente-cliente, y haría falta q los services "hablaran" Bulletproof
;-) Así q la solución de bulletproof sigue sin convencerme y
preferiría SSL cliente-servidor, en una primera fase de
implementación, y además SSL servidor-servidor (en una 2a fase de
implementación). Y repito, en este riguroso orden.
Ambos cifrados se podrían "implementar manualmente" mediante
programas como "stunnel" instalados en cada una de las máquinas q
corren el ircd, pero no deja de ser un apaño. Lo suyo es implementarlo
en el servidor ircd directamente. A pesar del coste, creo q sería una
mejora considerable.
Resumiendo: antes de pensar en implementar el cifrado entre
servidores habría q discutir el equivalente entre cliente-servidor, o
al menos, hacerlo en paralelo :-)
Salu2,
--Roman
--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB 29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]
More information about the IRC-Dev
mailing list