Présentation
EnglishRÉSUMÉ
Le protocole IPv6 définit de nouveaux types d'adresses ayant des propriétés utiles pour la sécurité. IPv6, et tout spécialement la procédure d'auto-configuration d'adresses IPv6 sans état, reposent principalement sur le mécanisme Neighbor Discovery Protocol (NDP). Ce mécanisme est vulnérable à des attaques, et des solutions ont été standardisées pour réduire cette vulnérabilité, en particulier Secure Neighbor Discovery (SEND). Mais, elles sont sujettes à certaines limitations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Michel COMBES : Ingénieur R « Sécurité Internet/Intranet »
INTRODUCTION
Le protocole IPv4 souffre de nombreuses faiblesses. Le principal problème est l'espace d'adressage. En effet, les adresses IPv4 sont d'une longueur de 32 bits, ce qui représente environ 4 milliards d'adresses possibles. Suite à l'explosion de la croissance du réseau Internet et au gaspillage des adresses dû à la structure en classes, le nombre d'adresses IPv4 est devenu insuffisant.
Un autre problème se pose sur la saturation des tables de routage dans les routeurs principaux de l'Internet. Même si dès 1993, des mesures d'urgence ont été prises, cela ne permet que de retarder l'échéance. Aussi, l'Internet Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
-
les différents types et classes d'adresses IPv6 spécifiés à l'IETF ;
le protocole de découverte des voisins, Neighbor Discovery Protocol (NDP), ainsi que le mécanisme d'auto-configuration d'adresses IPv6, Stateless Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
-
le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP dans certaines architectures.
Enfin, sont successivement abordés :
-
les failles de sécurité du mécanisme NDP ;
-
des solutions palliatives limitant ces dernières ;
-
le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution standardisée à l'IETF de sécurisation du mécanisme NDP, et les limites d'une telle solution.
Le mécanisme NDP est le cœur du protocole IPv6. Il est nécessaire dès qu'un nœud IPv6 désire s'attribuer une adresse. Il permet à un nœud IPv6 de communiquer avec d'autres nœuds IPv6, y compris des routeurs. Aussi, la sécurité de ce mécanisme est cruciale pour IPv6.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseau Internet : protocoles, multicast, routage, MPLS et mobilité > Sécurité IPv6 - Adressage et auto-configuration > Génération et sécurité d'adresse unicast IPv6
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Administration de réseaux, applications et mise en oeuvre > Sécurité IPv6 - Adressage et auto-configuration > Génération et sécurité d'adresse unicast IPv6
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Génération et sécurité d'adresse unicast IPv6
Il existe plusieurs façons de générer dynamiquement les IID (Interface Identifier) pour les adresses unicast IPv6.
2.1 EUI-64 modifié
La plus commune des méthodes est basée sur l'identifiant IEEE modifié EUI-64 (voir le site IEEE Standards dans le Pour en savoir plus), qui lui même repose sur l'adresse IEEE 802, plus connue sous le nom d'adresse Media Access Control (MAC ).
À partir d'une adresse MAC, il faut insérer « 0xFFFE » au milieu de celle-ci afin d'obtenir l'identifiant IEEE EUI-64. Ensuite, il suffit de mettre à 1 le bit « universel/local » (c'est-à-dire, 7e bit du premier octet) et à 0 le bit « individuel/groupe » (c'est-à-dire, 8e bit du premier octet).
Cette méthode est résumée à la figure 4.
HAUT DE PAGE2.2 Aléatoire
L'inconvénient de la méthode précédente est que le nœud IPv6 aura toujours le même IID même s'il change de préfixe réseau. Du coup, il serait facile d'identifier le nœud en question malgré ses mouvements.
Aussi, une autre méthode a été spécifiée et est basée sur une génération pseudo-aléatoire. Lors de son démarrage, le nœud IPv6 initie aléatoirement une variable de 64 bits, nommée history value et qu'il sauvegarde. Lorsque le nœud a besoin d'un IID, tout d'abord, il génère un IID de type EUI-64 qu'il concatène à la valeur actuelle...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Génération et sécurité d'adresse unicast IPv6
BIBLIOGRAPHIE
-
(1) - DEERING (S.), HINDEN (R.) - Internet protocol, version 6 (IPv6) specification. - RFC 2460, Internet Engineering Task Force, déc. 1998.
-
(2) - HINDEN (R.), DEERING (S.) - IP version 6 addressing architecture. - RFC 4291, Internet Engineering Task Force, fév. 2006.
-
(3) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.), DE GROOT (G.J.), LEAR (E.) - Address allocation for private internets. - RFC 1918, Internet Engineering Task Force, fév. 1996.
-
(4) - HINDEN (R.), HABERMAN (B.) - Unique local IPv6 unicast addresses. - RFC 4193, Internet Engineering Task Force, oct. 2005.
-
(5) - NARTEN (T.), DRAVES (R.), KRISHNAN (S.) - Privacy extensions for stateless address autoconfiguration in IPv6. - RFC 4941, Internet Engineering Task Force, sept. 2007.
-
(6) - RIVEST (R.) - The MD5 message-digest algorithm. - ...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
-
NIST-CSRC – National Institute of Standards and Technology Computer Security Resource Center http://csrc.nist.gov
-
IANA – Internet Assigned Numbers Authority – Gestion de noms de domaine, ressources de numéros et affectation de protocole http://www.iana.org
-
IEEE Standards Association – Organisation autour des progrès des technologies globales https://www.standards.ieee.org
-
IETF Tools– Ensemble des outils autonomes ou hébergés http://www.tools.ietf.org
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive