<div dir="ltr"><div><i>However, what the host OSes and applications do with and how they<br>
interpret the packets' payloads when they arrive isn't the<br>
responsibility of an internetworking protocol.<br>
<br>
If you think it can easily be made one, how?<br><br></i></div>This is exactly the problem in a nutshell. To say that security is not a function of the ISO stack, separates application security from the network. There is not going to be application end to end security until security at the data layer integrates with application security. Even SAFE, which is a step in the right direction of granting application access according to traffic profile, can't deliver end to end security, because application rights are not informed by the network profile. Or if it is, it's on an ad hoc basis.<br><br>My feeling is we could see Cisco invent a means of allocating SGT tags by BGP community extended to 64 bits, and some integration of 802.1x to deliver Trustsec to the desktop. The problem being, this implies separate routing tables for different security profiles, being necessarily the case, which is not something ipv6 could be made to support.<br><div><div>
<span class="gmail-im"><br></span></div><div><span class="gmail-im">The fundamental architectural failing of the ISO stack, is there is a data plane, and a control plane, but no security plane, without which there can never be end to end security.<br></span></div><div><span class="gmail-im"><br></span></div><div><span class="gmail-im">Kind regards<br><br></span></div><div><span class="gmail-im">Paul Wilkins<br><br></span></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 13 May 2017 at 14:10, Mark Smith <span dir="ltr"><<a href="mailto:markzzzsmith@gmail.com" target="_blank">markzzzsmith@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 13 May 2017 12:31 pm, "Paul Wilkins" <<a href="mailto:paulwilkins369@gmail.com">paulwilkins369@gmail.com</a>> wrote:<br>
<br>
>In light of today's ransomware attack, (74 countries/with demands translated in 28 languages), I'm tempted to take a step back and take a longer optic on the gap between what the internet was meant to be, and what exists today. The OSI model which built the net was built on implicit trust between each layer and the one above. It was never anticipated that in a couple of milliseconds, a few hundred packets from Kazakhstan could span the globe<br>
<br>
</span>I'd say that is a perfect description of the problem being solved with<br>
internetworking protocols, from as far back as when they were being<br>
invented in 1970s.<br>
<span class=""><br>
<br>
> to hard drives around the world, and a ubiquitous operating system would then lock up people's data with hard cryptography.<br>
<br>
</span>However, what the host OSes and applications do with and how they<br>
interpret the packets' payloads when they arrive isn't the<br>
responsibility of an internetworking protocol.<br>
<br>
If you think it can easily be made one, how?<br>
<span class=""><br>
>You don't even need to play Cassandra to realise there's a genuine risk sooner or later, someone will sign a driver (ala Stuxnet), and significant portions of the global internet population will lose their data. Actual costs could run to billions of dollars. Unfortunately it will likely take an event of such magnitude before there's broad recognition that the trust model of the internet built on ipv4 is fundamentally broken, and we need a new network protocol that supports integrated security, and this would be a more worthwhile exercise than replacing ipv4 with ipv6.<br>
<br>
</span>The best place to solve a problem is as close to as possible or<br>
ideally where the cause exists. This ransomware is infecting Windows<br>
OS only ... if it was a network layer protocol cause, then those of us<br>
running Linux, Android, Chrome OS, Mac OS X, iOS etc. would also be<br>
effected by it.<br>
<br>
This is a Windows OS problem and needs to be solved there - which from<br>
what I've read apparently it was a month or so ago with a security<br>
patch. (There is the broader issue of why Windows PCs aren't being<br>
patched in a timely manner, however that is also not a problem that<br>
can be solved by a network layer protocol.)<br>
<br>
I'd also observe that there is no reason why this same issue couldn't<br>
have occurred when viruses were being propagated via floppy disk<br>
between PCs running MS-DOS.<br>
<br>
Actually, looking it up, it did (it's now ringing a bell when I think about it).<br>
<br>
<a href="https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/<wbr>AIDS_(Trojan_horse)</a><br>
<br>
<br>
Regards,<br>
Mark.<br>
</blockquote></div><br></div>