Présentation
RÉSUMÉ
Le protocole IPv6 définit de nouveaux types d'adresses ayant des propriétés utiles pour la sécurité. IPv6, et tout spécialement la procédure d'auto-configuration d'adresses IPv6 sans état, reposent principalement sur le mécanisme Neighbor Discovery Protocol (NDP). Ce mécanisme est vulnérable à des attaques, et des solutions ont été standardisées pour réduire cette vulnérabilité, en particulier Secure Neighbor Discovery (SEND). Mais, elles sont sujettes à certaines limitations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Michel COMBES : Ingénieur R « Sécurité Internet/Intranet »
INTRODUCTION
Le protocole IPv4 souffre de nombreuses faiblesses. Le principal problème est l'espace d'adressage. En effet, les adresses IPv4 sont d'une longueur de 32 bits, ce qui représente environ 4 milliards d'adresses possibles. Suite à l'explosion de la croissance du réseau Internet et au gaspillage des adresses dû à la structure en classes, le nombre d'adresses IPv4 est devenu insuffisant.
Un autre problème se pose sur la saturation des tables de routage dans les routeurs principaux de l'Internet. Même si dès 1993, des mesures d'urgence ont été prises, cela ne permet que de retarder l'échéance. Aussi, l'Internet Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
-
les différents types et classes d'adresses IPv6 spécifiés à l'IETF ;
le protocole de découverte des voisins, Neighbor Discovery Protocol (NDP), ainsi que le mécanisme d'auto-configuration d'adresses IPv6, Stateless Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
-
le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP dans certaines architectures.
Enfin, sont successivement abordés :
-
les failles de sécurité du mécanisme NDP ;
-
des solutions palliatives limitant ces dernières ;
-
le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution standardisée à l'IETF de sécurisation du mécanisme NDP, et les limites d'une telle solution.
Le mécanisme NDP est le cœur du protocole IPv6. Il est nécessaire dès qu'un nœud IPv6 désire s'attribuer une adresse. Il permet à un nœud IPv6 de communiquer avec d'autres nœuds IPv6, y compris des routeurs. Aussi, la sécurité de ce mécanisme est cruciale pour IPv6.
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cryptographie, authentification, protocoles de sécurité, VPN > Sécurité IPv6 - Adressage et auto-configuration > Conclusion
Présentation
Classes d'adresses IPv6Article inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
8. Conclusion
Dans cet article, après un rappel des différentes classes d'adresses IPv6, nous avons tout d'abord décrit le mécanisme NDP nécessaire pour une communication entre différents nœuds. Cela rend NDP critique pour IPv6, comme l'est ARP en IPv4. De plus, grâce à NDP, le protocole IPv6 fournit un nouveau service d'autoconfiguration sans état des adresses par rapport au protocole IPv4.
Nous avons présenté ensuite les failles de sécurité de NDP, ainsi que des solutions de protection palliatives mais faciles à mettre en place.
Finalement, nous avons décrit la solution de protection avancée et officielle pour NDP, le mécanisme SEND, ainsi que ses limitations.
Actuellement, le mécanisme SEND est peu utilisé pour 2 raisons principales :
-
il n'est pas implémenté dans la majorité des systèmes d'exploitation (par exemple, Windows, MacOS) ;
-
il nécessite la mise en place d'une infrastructure à clés publiques (PKI ).
Concernant ce dernier point, le déploiement actuel au niveau mondial d'une RPKI devrait résoudre en grande partie ce problème. Il restera alors aux principaux fournisseurs de systèmes d'exploitation à intégrer SEND pour que celui-ci puisse être déployé dans les réseaux IPv6.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Conclusion
Article inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - DEERING (S.), HINDEN (R.) - Internet protocol, version 6 (IPv6) specification. - RFC 2460, Internet Engineering Task Force, déc. 1998.
-
(2) - HINDEN (R.), DEERING (S.) - IP version 6 addressing architecture. - RFC 4291, Internet Engineering Task Force, fév. 2006.
-
(3) - REKHTER (Y.), MOSKOWITZ (B.), KARRENBERG (D.), DE GROOT (G.J.), LEAR (E.) - Address allocation for private internets. - RFC 1918, Internet Engineering Task Force, fév. 1996.
-
(4) - HINDEN (R.), HABERMAN (B.) - Unique local IPv6 unicast addresses. - RFC 4193, Internet Engineering Task Force, oct. 2005.
-
(5) - NARTEN (T.), DRAVES (R.), KRISHNAN (S.) - Privacy extensions for stateless address autoconfiguration in IPv6. - RFC 4941, Internet Engineering Task Force, sept. 2007.
-
(6) - RIVEST (R.) - The MD5 message-digest algorithm. - ...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
-
NIST-CSRC – National Institute of Standards and Technology Computer Security Resource Center http://csrc.nist.gov
-
IANA – Internet Assigned Numbers Authority – Gestion de noms de domaine, ressources de numéros et affectation de protocole http://www.iana.org
-
IEEE Standards Association – Organisation autour des progrès des technologies globales https://www.standards.ieee.org
-
IETF Tools– Ensemble des outils autonomes ou hébergés http://www.tools.ietf.org
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Réseaux Télécommunications"
(141 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
