Table des matières:
- Définition - Que signifie le protocole Secure Neighbour Discovery (SEND Protocol)?
- Techopedia explique le protocole Secure Neighbour Discovery (SEND Protocol)
Définition - Que signifie le protocole Secure Neighbour Discovery (SEND Protocol)?
Le protocole de découverte de voisin sécurisé (SEND Protocol) est une extension de sécurité du protocole de découverte de voisin (NDP) utilisé dans IPv6 pour la découverte de nœuds voisins sur la liaison locale. Le NDP détermine les adresses de couche liaison des autres nœuds, trouve les routeurs disponibles, conserve les informations d'accessibilité, effectue la résolution des adresses et détecte la duplication d'adresses. SEND améliore ce protocole non sécurisé en utilisant des adresses générées par cryptographie (CGA) pour crypter les messages NDP. Cette méthode est indépendante d'IPSec, qui est généralement utilisée pour sécuriser les transmissions IPv6. L'introduction de CGA permet d'annuler le voisinage / sollicitation / usurpation d'identité, l'échec de la détection d'inaccessibilité du voisin, les attaques DOS, la sollicitation de routeur et les attaques de réexécution.
Techopedia explique le protocole Secure Neighbour Discovery (SEND Protocol)
S'il n'est pas sécurisé, le NDP est vulnérable à diverses attaques. Les spécifications NDP d'origine prévoyaient l'utilisation d'IPsec pour protéger les messages NDP. Cependant, le nombre d'applications de sécurité configurées manuellement nécessaires pour protéger le NDP peut être très important, ce qui rend cette approche peu pratique pour la plupart des applications.
Le protocole SEND est conçu pour contrer les menaces pesant sur le NDP. SEND est applicable dans les environnements où la sécurité physique sur la liaison n'est pas assurée (par exemple via le sans fil) et les attaques contre le NDP sont une préoccupation. SEND utilise des CGA, une méthode cryptographique pour lier une clé de signature publique à un IPv6. Les CGA sont utilisés pour s'assurer que l'expéditeur d'un message de découverte de voisin est le "propriétaire" de l'adresse revendiquée. Une paire de clés publique-privée est générée par tous les nœuds avant qu'ils ne puissent réclamer une adresse. Une nouvelle option NDP, l'option CGA, est utilisée pour transporter la clé publique et les paramètres associés. CGA est formé en remplaçant les 64 bits les moins significatifs de l'adresse IPv6 128 bits par le hachage cryptographique de la clé publique du propriétaire de l'adresse. Les messages sont signés avec la clé privée correspondante. Ce n'est que si l'adresse source et la clé publique sont connues que le vérificateur peut authentifier le message de l'expéditeur correspondant.
Le protocole SEND ne nécessite aucune infrastructure à clé publique. Des CGA valides peuvent être générés par n'importe quel expéditeur, y compris un attaquant potentiel, mais ils ne peuvent utiliser aucun CGA existant. Les signatures de clé publique protègent l'intégrité des messages et authentifient l'identité de ceux qui les envoient. L'autorité d'une clé publique est établie via un certain nombre de processus en fonction de la configuration et du type de message protégé.
