Présentation
En anglaisRÉSUMÉ
Le protocole IPv6 définit de nouveaux types d'adresses ayant des propriétés utiles pour la sécurité. IPv6, et tout spécialement la procédure d'auto-configuration d'adresses IPv6 sans état, reposent principalement sur le mécanisme Neighbor Discovery Protocol (NDP). Ce mécanisme est vulnérable à des attaques, et des solutions ont été standardisées pour réduire cette vulnérabilité, en particulier Secure Neighbor Discovery (SEND). Mais, elles sont sujettes à certaines limitations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
The IPv6 protocol defines new types of addresses presenting useful safety properties. The IPv6 and in particular the stateless IPv6 address autoconfiguration are essentially based on the Neighbor Discovery Protocol (NDP). As this mechanism is vulnerable to attacks, solutions, and notably Secure Neighbor Discovery (SEND), have been standardized in order to reduce such vulnerability. They however present certain limitations.
Auteur(s)
-
Jean-Michel COMBES : Ingénieur R « Sécurité Internet/Intranet »
INTRODUCTION
Le protocole IPv4 souffre de nombreuses faiblesses. Le principal problème est l'espace d'adressage. En effet, les adresses IPv4 sont d'une longueur de 32 bits, ce qui représente environ 4 milliards d'adresses possibles. Suite à l'explosion de la croissance du réseau Internet et au gaspillage des adresses dû à la structure en classes, le nombre d'adresses IPv4 est devenu insuffisant.
Un autre problème se pose sur la saturation des tables de routage dans les routeurs principaux de l'Internet. Même si dès 1993, des mesures d'urgence ont été prises, cela ne permet que de retarder l'échéance. Aussi, l'Internet Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
-
les différents types et classes d'adresses IPv6 spécifiés à l'IETF ;
le protocole de découverte des voisins, Neighbor Discovery Protocol (NDP), ainsi que le mécanisme d'auto-configuration d'adresses IPv6, Stateless Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
-
le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP dans certaines architectures.
Enfin, sont successivement abordés :
-
les failles de sécurité du mécanisme NDP ;
-
des solutions palliatives limitant ces dernières ;
-
le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution standardisée à l'IETF de sécurisation du mécanisme NDP, et les limites d'une telle solution.
Le mécanisme NDP est le cœur du protocole IPv6. Il est nécessaire dès qu'un nœud IPv6 désire s'attribuer une adresse. Il permet à un nœud IPv6 de communiquer avec d'autres nœuds IPv6, y compris des routeurs. Aussi, la sécurité de ce mécanisme est cruciale pour IPv6.
MOTS-CLÉS
KEYWORDS
addressing | auto-configuration
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseau Internet : protocoles, multicast, routage, MPLS et mobilité > Sécurité IPv6 - Adressage et auto-configuration > Solution de protection avancée du protocole ND
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Administration de réseaux, applications et mise en oeuvre > Sécurité IPv6 - Adressage et auto-configuration > Solution de protection avancée du protocole ND
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. Solution de protection avancée du protocole ND
Le mécanisme SEND est la solution standardisée à l'IETF permettant de contrer les attaques internes (§ 5.2). Il est composé de deux parties, une partie sécurisant les échanges entre 2 nœuds IPv6, l'autre partie sécurisant la découverte d'un routeur.
7.1 Sécurisation des échanges entre 2 nœuds
Cette composante de SEND permet de sécuriser les messages NDP échangés entre 2 nœuds IPv6. Elle repose sur l'utilisation des adresses CGA (§ 2.4). Le mécanisme SEND définit 4 nouvelles options ICMPv6 pour sécuriser les échanges NDP :
-
option CGA : cette option permet de transporter les CGA Parameters durant les échanges NDP. Le format de cette option est illustré à la figure 25 ;
-
option RSA Signature : cette option permet de transporter la signature RSA [RSA78] d'un message NDP, ainsi qu'une partie du résultat de la fonction de hachage « SHA-1 » appliquée à la clé...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Solution de protection avancée du protocole ND
BIBLIOGRAPHIE
-
(1) - DEERING (S.), HINDEN (R.) - Internet protocol, version 6 (IPv6) specification. - RFC 2460, Internet Engineering Task Force, déc. 1998.
-
(2) - HINDEN (R.), DEERING (S.) - IP version 6 addressing architecture. - RFC 4291, Internet Engineering Task Force, fév. 2006.
-
(3) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.), DE GROOT (G.J.), LEAR (E.) - Address allocation for private internets. - RFC 1918, Internet Engineering Task Force, fév. 1996.
-
(4) - HINDEN (R.), HABERMAN (B.) - Unique local IPv6 unicast addresses. - RFC 4193, Internet Engineering Task Force, oct. 2005.
-
(5) - NARTEN (T.), DRAVES (R.), KRISHNAN (S.) - Privacy extensions for stateless address autoconfiguration in IPv6. - RFC 4941, Internet Engineering Task Force, sept. 2007.
-
(6) - RIVEST (R.) - The MD5 message-digest algorithm. - ...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
-
NIST-CSRC – National Institute of Standards and Technology Computer Security Resource Center http://csrc.nist.gov
-
IANA – Internet Assigned Numbers Authority – Gestion de noms de domaine, ressources de numéros et affectation de protocole http://www.iana.org
-
IEEE Standards Association – Organisation autour des progrès des technologies globales https://www.standards.ieee.org
-
IETF Tools– Ensemble des outils autonomes ou hébergés http://www.tools.ietf.org
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive