Barrapunto

No exactamente, hasta ahora se ha hecho lo que se podía hacer. Como IP no era seguro se tenía que hacer seguro vía capas altas del protocolo. El que IP no es seguro no significa que si le meto criptografía nadie sepa que va en la trama. Por el simple hecho de que esos paquetes IP no son seguro, tanto da que lo que vaya dentro esté encriptado. Si yo tranquilamente puedo sustituir esos paquetes maravillosamente encriptados por lo míos y simular tu diálogo. Piensa que si yo secuestro tus paquetes, los leo, y luego creo yo paquetes en los que pido lo que tu pides, y te devuelvo la información que consigo. Tú estás usando un protocolo seguro (criptografía) pero sus cimientos están muy hundidos en el barro y eso es lo que yo aprovecho. Me parece que es el ataque man in the middle. La inseguridad de IP es inherente al protocolo, siempre se podría trampear los propios paquetes IP porque IP a pelo no implemente nada de seguridad, toda su seguridad se basa en IPSec y en criptografía. No se si me he explicado bien.

Te equivocas de nuevo. Evitar ese tipo de ataques (falsear paquetes ip) es tan facil como que en el segmento tcp (debidamente criptografiado) especifiques a su vez el numero de segmento.

      Se que parece un poco enrevesado mi anterior párrafo. Pero si lo lees atentamente sabrás lo que significa.