There is no answer to the question „How far can TCP go?“
TCP Authentication Option (AO)
TCP MD5 (RFC 2385) wird abgelöst von Authentication Option (AO). Die MD5-Prüfsumme steht in einer TCP-Option. Das Segment wird verworfen, wenn die Prüfsumme nicht stimmt. AO erlaubt beliebige Hash-Algorithmen, unterstützt Rekey, Replay-Protection und benötigt 16 Byte im TCP-Header. TCP-AO ist aktuell als IETF-Draft verfügbar. Schlüsselwörter: Sequence Number Extension (SNE), Master Key Tuple (MKT). Links: Draft TCP-AO, Draft TCP-AO Crypto.
SACK Loss Recovery
Frühzeitige Erkennung von verlorengegangenen TCP-Paketen Mit Hilfe der TCP-Option Selective Acknowledgement. Links: Draft SACK Recovery.
Mobile Ad-hoc Netzwerke
Mobile Ad-hoc Netze müssten über ein dynamisches Routingprotokoll benachbarte Systeme erkennen. Verwendet wird dafür das Optimized Link State Routing Protocol (OLSR, RFC 3626). Schlüsselwörter: Mobile Ad-hoc Netzwerk (Manet). Links: Draft OLSRv2, Draft DYMO, Draft SMF.
Staukontrolle
Staukontrolle (RFC 2581) soll eine zu hohe Belegung des Netzwerks verhindern. Dabei werden verschiedene Verfahren der Congestion Control verwendet. Die Hauptarbeiten stammen von Van Jacobsen, der Congestion Control in TCP entworfen hat. Bei UDP fehlt die Staukontrolle. Deshalb wird versucht mit einem eigenen Protokoll, Datagram Congestion Control Protocol (DCCP, RFC 4340) dieses Problem anzugehen. Zusätzlich könnte man sich die ermittelte Bandbreite zu einem Kommunikationspartner auch nach Ende der Verbindung merken. Ein weiteres Hilfsmittel ist Quick Start TCP.
TCP Cookie Transaction
Damit soll verhindert werden, dass Daten einer alten mit einer neuen Verbindung vermengt werden. Früher hat man einfach einen Socket und Port länger gesperrt, inzwischen versucht man das Problem anders zu lösen. Dabei kommt ein TCP Cookie zum Einsatz. Links: Draft TCP TIME_WAIT, Draft TCP CT.
Interessant ist für mich jetzt primär die Entwicklung von TCP-AO. Ich könnte mir vorstellen, dass es in naher Zukunft Netzwerkkarten gibt, die die komplette TCP-AO-Berechnung auf der Karte durchführen (Offloading) und damit ein großer Teil zukünftiger Netzwerkverbindungen mit TCP-AO authentisiert werden kann. Dann würden vermutlich Man-in-the-Middle-Angriffe erheblich erschwert. Die anderen Punkte beschäftigen sich hauptsächlich mit der Verlässlichkeit und Verfügbarkeit von Datenübertragungen und das finde ich persönlich jetzt nicht so interessant.
In diesem Zusammenhang verweise ich auch gerne auf den TCP Security Draft von Gont.
Kommentare gesperrt wegen Spam
Comment by Christian — 24. Oktober 2016 @ 15:11