Publicité
Sécurité : Sécurité du premier saut IPv6
Protection contre les attaques
634
Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5
Protection contre l'usurpation de résolution d'adresse IPv6
Un hôte malveillant peut envoyer des messages NA qui l'annoncent lui-même comme hôte
IPv6 disposant de l'adresse IPv6 donnée.
L'intégrité de la liaison de voisin offre une protection contre ces attaques comme suit :
•
Si l'adresse IPv6 donnée est inconnue, le message Neighbor Solicitation (NS) est
uniquement transféré sur les interfaces internes.
•
Si l'adresse IPv6 donnée est connue, le message NS est uniquement transféré sur
l'interface à laquelle l'adresse IPv6 est liée.
•
Un message Neighbor Advertisement (NA) est éliminé si l'adresse IPv6 cible est liée à
une autre interface.
Protection contre l'usurpation de détection des adresses en double IPv6
Un hôte IPv6 doit réaliser la détection des adresses en double (Duplication Address Detection)
pour chaque adresse IPv6 attribuée en envoyant un message NS spécial (message Duplicate
Address Detection Neighbor Solicitation (DAD_NS)).
Un hôte malveillant peut envoyer une réponse à un message DAD_NS en s'annonçant comme
hôte IPv6 disposant de l'adresse IPv6 donnée.
L'intégrité de la liaison de voisin offre une protection contre ces attaques comme suit :
•
Si l'adresse IPv6 donnée est inconnue, le message DAD_NS est uniquement transféré
sur les interfaces internes.
•
Si l'adresse IPv6 donnée est connue, le message DAD_NS est uniquement transféré sur
l'interface à laquelle l'adresse IPv6 est liée.
•
Un message NA est éliminé si l'adresse IPv6 cible est liée à une autre interface.
Protection contre l'usurpation de serveur DHCPv6
Un hôte IPv6 peut utiliser le protocole DHCPv6 pour :
•
Configuration d'informations sans état
•
Configuration d'adresse avec état
25
Publicité
