OK, dette er supernerdete, men jeg så denne rfc'en første gang for noen år siden, og har prøvd å grave den frem igjen et par ganger før - uten hell. Men nå fant jeg den mer eller mindre tilfeldig og jeg merker at jeg koser meg like mye når jeg leser den nå som da jeg sist leste den.
Firewalls [CBR03], packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual. The problem is that making such determinations is hard. To solve this problem, we define a security flag, known as the "evil" bit, in the IPv4 [RFC791] header. Benign packets have this bit set to 0; those that are used for an attack will have the bit set to 1.
Rfc'en presenterer en helt ny måte å tenke sikkerhet på. Genistreken er å innføre en "evil bit" i headeren på IP-pakker. Denne biten er 0 hvis pakken ikke har onde hensikter, og 1 hvis den har det. Dette er genialt, fordi da kan brannmurer bare sjekke evil biten for å se om pakken skal stoppes eller slippes gjennom!
Men dette er bare IPv4. IPv6 gir enda større muligheter:
For IPv6 [RFC2460], evilness is conveyed by two options. The first, a hop-by-hop option, is used for packets that damage the network, such as DDoS packets. The second, an end-to-end option, is for packets intended to damage destination hosts. In either case, the option contains a 128-bit strength indicator, which says how evil the packet is, and a 128-bit type code that describes the particular type of attack intended.
Er det ikke flott? Vi får håpe denne rfc'en innføres så snart som mulig.
