Présentation

Article

1 - CLASSES D'ADRESSES IPV6

2 - GÉNÉRATION ET SÉCURITÉ D'ADRESSE UNICAST IPV6

3 - PROTOCOLE ND

4 - AUTO-CONFIGURATION DES ADRESSES IPV6

5 - ATTAQUES SUR LE PROTOCOLE ND

6 - SOLUTIONS DE PROTECTION PALLIATIVES DU PROTOCOLE ND

7 - SOLUTION DE PROTECTION AVANCÉE DU PROTOCOLE ND

8 - CONCLUSION

Article de référence | Réf : TE7506 v1

Attaques sur le protocole ND
Sécurité IPv6 - Adressage et auto-configuration

Auteur(s) : Jean-Michel COMBES

Date de publication : 10 mai 2013

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Le protocole IPv6 définit de nouveaux types d'adresses ayant des propriétés utiles pour la sécurité. IPv6, et tout spécialement la procédure d'auto-configuration d'adresses IPv6 sans état, reposent principalement sur le mécanisme Neighbor Discovery Protocol (NDP). Ce mécanisme est vulnérable à des attaques, et des solutions ont été standardisées pour réduire cette vulnérabilité, en particulier Secure Neighbor Discovery (SEND). Mais, elles sont sujettes à certaines limitations.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

IPv6 security - Addressing and auto-configuration

The IPv6 protocol defines new types of addresses presenting useful safety properties. The IPv6 and in particular the stateless IPv6 address autoconfiguration are essentially based on the Neighbor Discovery Protocol (NDP). As this mechanism is vulnerable to attacks, solutions, and notably Secure Neighbor Discovery (SEND), have been standardized in order to reduce such vulnerability. They however present certain limitations.

Auteur(s)

INTRODUCTION

Le protocole IPv4 souffre de nombreuses faiblesses. Le principal problème est l'espace d'adressage. En effet, les adresses IPv4 sont d'une longueur de 32 bits, ce qui représente environ 4 milliards d'adresses possibles. Suite à l'explosion de la croissance du réseau Internet et au gaspillage des adresses dû à la structure en classes, le nombre d'adresses IPv4 est devenu insuffisant.

Un autre problème se pose sur la saturation des tables de routage dans les routeurs principaux de l'Internet. Même si dès 1993, des mesures d'urgence ont été prises, cela ne permet que de retarder l'échéance. Aussi, l'Internet Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le protocole Internet qui remplacera IPv4 : ce protocole est IPv6.

Dans cet article, sont décrits :

  • les différents types et classes d'adresses IPv6 spécifiés à l'IETF ;

    le protocole de découverte des voisins, Neighbor Discovery Protocol (NDP), ainsi que le mécanisme d'auto-configuration d'adresses IPv6, Stateless Address Autoconfiguration (SLAAC), reposant sur ce dernier ;

  • le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP dans certaines architectures.

Enfin, sont successivement abordés :

  • les failles de sécurité du mécanisme NDP ;

  • des solutions palliatives limitant ces dernières ;

  • le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution standardisée à l'IETF de sécurisation du mécanisme NDP, et les limites d'une telle solution.

Le mécanisme NDP est le cœur du protocole IPv6. Il est nécessaire dès qu'un nœud IPv6 désire s'attribuer une adresse. Il permet à un nœud IPv6 de communiquer avec d'autres nœuds IPv6, y compris des routeurs. Aussi, la sécurité de ce mécanisme est cruciale pour IPv6.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

addressing   |   auto-configuration

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7506


Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

5. Attaques sur le protocole ND

Il existe 2 catégories de vulnérabilités pour le mécanisme NDP :

  • la première catégorie concerne les attaques externes au lien réseau où se situent les potentielles victimes ;

  • la deuxième catégorie s'appuie, elle, sur des attaques internes au lien réseau.

5.1 Attaques externes

Lors de la réception d'un paquet IPv6 à destination d'un nœud de ce sous-réseau par un routeur, suivant les spécifications de NDP, ce routeur doit vérifier s'il a déjà dans son Neighbor Cache les informations concernant le destinataire de ce paquet IPv6 afin de pouvoir le lui transmettre. Si ce n'est pas le cas, il stocke le paquet IPv6 et applique la procédure ND (§ 3.1).

Tout d'abord, il crée une nouvelle entrée dans le Neighbor Cache, puis il envoie un message NS pour obtenir un message NA de la part du nœud destinataire contenant ces informations. D'un autre côté, en IPv6, un sous-réseau (c'est-à-dire, pour un préfixe réseau donné) peut contenir jusqu'à 264 adresses, représentant ainsi des milliards et des milliards d'adresses.

Mais la grande majorité d'entre elles ne sont pas assignées. C'est en particulier le cas pour les architectures de type Point-to-Point entre 2 routeurs, où sur les 264 adresses, seules 2 adresses sont assignées (c'est-à-dire, une adresse par-routeur). Du coup , un attaquant, se trouvant à l'extérieur du sous-réseau et scannant celui-ci (c'est-à-dire, envoi d'un grand nombre de requêtes dont chacune est à destination d'une adresse différente de ce sous-réseau), peut...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Attaques sur le protocole ND
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - DEERING (S.), HINDEN (R.) -   Internet protocol, version 6 (IPv6) specification.  -  RFC 2460, Internet Engineering Task Force, déc. 1998.

  • (2) - HINDEN (R.), DEERING (S.) -   IP version 6 addressing architecture.  -  RFC 4291, Internet Engineering Task Force, fév. 2006.

  • (3) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.), DE GROOT (G.J.), LEAR (E.) -   Address allocation for private internets.  -  RFC 1918, Internet Engineering Task Force, fév. 1996.

  • (4) - HINDEN (R.), HABERMAN (B.) -   Unique local IPv6 unicast addresses.  -  RFC 4193, Internet Engineering Task Force, oct. 2005.

  • (5) - NARTEN (T.), DRAVES (R.), KRISHNAN (S.) -   Privacy extensions for stateless address autoconfiguration in IPv6.  -  RFC 4941, Internet Engineering Task Force, sept. 2007.

  • (6) - RIVEST (R.) -   The MD5 message-digest algorithm.  -  ...

1 Sites Internet

  • NIST-CSRC – National Institute of Standards and Technology Computer Security Resource Center http://csrc.nist.gov

  • IANA – Internet Assigned Numbers Authority – Gestion de noms de domaine, ressources de numéros et affectation de protocole http://www.iana.org

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS