Protocole de découverte de voisin sécurisé (protocole d’envoi)

Définition - Que signifie le protocole de découverte de voisin sécurisé (protocole SEND)?

Le protocole de découverte de voisin sécurisé (protocole SEND) est une extension de sécurité du protocole de découverte de voisin (NDP) utilisé dans IPv6 pour la découverte de nœuds voisins sur la liaison locale. NDP détermine les adresses de couche de liaison des autres nœuds, trouve les routeurs disponibles, gère les informations d'accessibilité, effectue la résolution d'adresse et détecte la duplication d'adresses. SEND améliore ce protocole non sécurisé en utilisant des adresses générées par cryptographie (CGA) pour crypter les messages NDP. Cette méthode est indépendante d'IPSec, qui est généralement utilisée pour sécuriser les transmissions IPv6. L'introduction de CGA aide à annuler l'usurpation de voisin / sollicitation / publicité, l'échec de détection d'inaccessibilité de voisin, les attaques DOS, la sollicitation de routeur et les attaques de publicité et de relecture.

Definir Tech explique le protocole de découverte de voisin sécurisé (protocole SEND)

S'il n'est pas sécurisé, le NDP est vulnérable à diverses attaques. Les spécifications NDP d'origine appelaient à l'utilisation d'IPsec pour protéger les messages NDP. Cependant, le nombre d'applications de sécurité configurées manuellement nécessaires pour protéger NDP peut être très important, ce qui rend cette approche peu pratique dans la plupart des cas.

Le protocole SEND est conçu pour contrer les menaces pesant sur NDP. SEND est applicable dans les environnements où la sécurité physique sur la liaison n'est pas assurée (par exemple via le sans fil) et où les attaques contre NDP sont un problème. SEND utilise les CGA, une méthode cryptographique pour lier une clé de signature publique à un IPv6. Les CGA sont utilisés pour s'assurer que l'expéditeur d'un message de découverte de voisin est le «propriétaire» de l'adresse revendiquée. Une paire de clés publique-privée est générée par tous les nœuds avant qu'ils ne puissent revendiquer une adresse. Une nouvelle option NDP, l'option CGA, est utilisée pour transporter la clé publique et les paramètres associés. CGA est formé en remplaçant les 64 bits les moins significatifs de l'adresse IPv128 6 bits par le hachage cryptographique de la clé publique du propriétaire de l'adresse. Les messages sont signés avec la clé privée correspondante. Ce n'est que si l'adresse source et la clé publique sont connues que le vérificateur peut authentifier le message de cet expéditeur correspondant.

Le protocole SEND ne nécessite aucune infrastructure à clé publique. Des CGA valides peuvent être générés par n'importe quel expéditeur, y compris un attaquant potentiel, mais ils ne peuvent utiliser aucun CGA existant. Les signatures de clé publique protègent l'intégrité des messages et authentifient l'identité de ceux qui les envoient. L'autorité d'une clé publique est établie via un certain nombre de processus en fonction de la configuration et du type de message à protéger.