Présentation
EnglishRÉSUMÉ
Le protocole IPv6 définit de nouveaux types d'adresses ayant des propriétés utiles pour la sécurité. IPv6, et tout spécialement la procédure d'auto-configuration d'adresses IPv6 sans état, reposent principalement sur le mécanisme Neighbor Discovery Protocol (NDP). Ce mécanisme est vulnérable à des attaques, et des solutions ont été standardisées pour réduire cette vulnérabilité, en particulier Secure Neighbor Discovery (SEND). Mais, elles sont sujettes à certaines limitations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Michel COMBES : Ingénieur R « Sécurité Internet/Intranet »
INTRODUCTION
Le protocole IPv4 souffre de nombreuses faiblesses. Le principal problème est l'espace d'adressage. En effet, les adresses IPv4 sont d'une longueur de 32 bits, ce qui représente environ 4 milliards d'adresses possibles. Suite à l'explosion de la croissance du réseau Internet et au gaspillage des adresses dû à la structure en classes, le nombre d'adresses IPv4 est devenu insuffisant.
Un autre problème se pose sur la saturation des tables de routage dans les routeurs principaux de l'Internet. Même si dès 1993, des mesures d'urgence ont été prises, cela ne permet que de retarder l'échéance. Aussi, l'Internet Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
-
les différents types et classes d'adresses IPv6 spécifiés à l'IETF ;
le protocole de découverte des voisins, Neighbor Discovery Protocol (NDP), ainsi que le mécanisme d'auto-configuration d'adresses IPv6, Stateless Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
-
le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP dans certaines architectures.
Enfin, sont successivement abordés :
-
les failles de sécurité du mécanisme NDP ;
-
des solutions palliatives limitant ces dernières ;
-
le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution standardisée à l'IETF de sécurisation du mécanisme NDP, et les limites d'une telle solution.
Le mécanisme NDP est le cœur du protocole IPv6. Il est nécessaire dès qu'un nœud IPv6 désire s'attribuer une adresse. Il permet à un nœud IPv6 de communiquer avec d'autres nœuds IPv6, y compris des routeurs. Aussi, la sécurité de ce mécanisme est cruciale pour IPv6.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cryptographie, authentification, protocoles de sécurité, VPN > Sécurité IPv6 - Adressage et auto-configuration > Attaques sur le protocole ND
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseau Internet : protocoles, multicast, routage, MPLS et mobilité > Sécurité IPv6 - Adressage et auto-configuration > Attaques sur le protocole ND
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Attaques sur le protocole ND
Il existe 2 catégories de vulnérabilités pour le mécanisme NDP :
-
la première catégorie concerne les attaques externes au lien réseau où se situent les potentielles victimes ;
-
la deuxième catégorie s'appuie, elle, sur des attaques internes au lien réseau.
5.1 Attaques externes
Lors de la réception d'un paquet IPv6 à destination d'un nœud de ce sous-réseau par un routeur, suivant les spécifications de NDP, ce routeur doit vérifier s'il a déjà dans son Neighbor Cache les informations concernant le destinataire de ce paquet IPv6 afin de pouvoir le lui transmettre. Si ce n'est pas le cas, il stocke le paquet IPv6 et applique la procédure ND (§ 3.1).
Tout d'abord, il crée une nouvelle entrée dans le Neighbor Cache, puis il envoie un message NS pour obtenir un message NA de la part du nœud destinataire contenant ces informations. D'un autre côté, en IPv6, un sous-réseau (c'est-à-dire, pour un préfixe réseau donné) peut contenir jusqu'à 264 adresses, représentant ainsi des milliards et des milliards d'adresses.
Mais la grande majorité d'entre elles ne sont pas assignées. C'est en particulier le cas pour les architectures de type Point-to-Point entre 2 routeurs, où sur les 264 adresses, seules 2 adresses sont assignées (c'est-à-dire, une adresse par-routeur). Du coup , un attaquant, se trouvant à l'extérieur du sous-réseau et scannant celui-ci (c'est-à-dire, envoi d'un grand nombre de requêtes dont chacune est à destination d'une adresse différente de ce sous-réseau), peut...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Attaques sur le protocole ND
BIBLIOGRAPHIE
-
(1) - DEERING (S.), HINDEN (R.) - Internet protocol, version 6 (IPv6) specification. - RFC 2460, Internet Engineering Task Force, déc. 1998.
-
(2) - HINDEN (R.), DEERING (S.) - IP version 6 addressing architecture. - RFC 4291, Internet Engineering Task Force, fév. 2006.
-
(3) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.), DE GROOT (G.J.), LEAR (E.) - Address allocation for private internets. - RFC 1918, Internet Engineering Task Force, fév. 1996.
-
(4) - HINDEN (R.), HABERMAN (B.) - Unique local IPv6 unicast addresses. - RFC 4193, Internet Engineering Task Force, oct. 2005.
-
(5) - NARTEN (T.), DRAVES (R.), KRISHNAN (S.) - Privacy extensions for stateless address autoconfiguration in IPv6. - RFC 4941, Internet Engineering Task Force, sept. 2007.
-
(6) - RIVEST (R.) - The MD5 message-digest algorithm. - ...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
-
NIST-CSRC – National Institute of Standards and Technology Computer Security Resource Center http://csrc.nist.gov
-
IANA – Internet Assigned Numbers Authority – Gestion de noms de domaine, ressources de numéros et affectation de protocole http://www.iana.org
-
IEEE Standards Association – Organisation autour des progrès des technologies globales https://www.standards.ieee.org
-
IETF Tools– Ensemble des outils autonomes ou hébergés http://www.tools.ietf.org
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive