Aller au contenu principal

10. Security Considerations

10. Security Considerations

We consider the ramifications of a forged message of each type.

Nous examinons les conséquences d'un message falsifié de chaque type.

Query Message:

Message de requête (Query Message) :

A forged Query message from a machine with a lower IP address than the current Querier will cause Querier duties to be assigned to the forger. If the forger then sends no more Query messages, other routers' Other Querier Present timer will time out and one will resume the role of Querier. During this time, if the forger ignores Leave Messages, traffic might flow to groups with no members for up to [Group Membership Interval].

Un message de requête falsifié provenant d'une machine ayant une adresse IP inférieure à celle du questionneur (Querier) actuel entraînera l'attribution des fonctions de questionneur au faussaire. Si le faussaire n'envoie ensuite plus de messages de requête, le minuteur « Autre questionneur présent » (Other Querier Present) des autres routeurs expirera et l'un d'eux reprendra le rôle de questionneur. Pendant ce temps, si le faussaire ignore les messages de départ (Leave Messages), le trafic pourrait circuler vers des groupes sans membres pendant une durée pouvant aller jusqu'à [Intervalle d'appartenance au groupe] (Group Membership Interval).

A forged Query message sent to a group with members will cause the hosts which are members of the group to report their memberships. This causes a small amount of extra traffic on the LAN, but causes no protocol problems.

Un message de requête falsifié envoyé à un groupe avec des membres incitera les hôtes membres du groupe à signaler leur appartenance. Cela génère une petite quantité de trafic supplémentaire sur le réseau local, mais ne cause aucun problème de protocole.

Report messages:

Messages de rapport (Report messages) :

A forged Report message may cause multicast routers to think there are members of a group on a subnet when there are not. Forged Report messages from the local subnet are meaningless, since joining a group on a host is generally an unprivileged operation, so a local user may trivially gain the same result without forging any messages. Forged Report messages from external sources are more troublesome; there are two defenses against externally forged Reports:

Un message de rapport falsifié peut amener les routeurs multicast à penser qu'il y a des membres d'un groupe sur un sous-réseau alors qu'il n'y en a pas. Les messages de rapport falsifiés provenant du sous-réseau local n'ont aucun sens, car rejoindre un groupe sur un hôte est généralement une opération non privilégiée, de sorte qu'un utilisateur local peut trivialement obtenir le même résultat sans falsifier aucun message. Les messages de rapport falsifiés provenant de sources externes sont plus gênants ; il existe deux défenses contre les rapports falsifiés de l'extérieur :

  • Ignore the Report if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that Reports sent by mobile hosts without addresses on the local subnet will be ignored.

  • Ignorez le rapport si vous ne pouvez pas identifier l'adresse source du paquet comme appartenant à un sous-réseau attribué à l'interface sur laquelle le paquet a été reçu. Cette solution signifie que les rapports envoyés par des hôtes mobiles sans adresse sur le sous-réseau local seront ignorés.

  • Ignore Report messages without Router Alert options [RFC 2113], and require that routers not forward Report messages. (The requirement is not a requirement of generalized filtering in the forwarding path, since the packets already have Router Alert options in them). This solution breaks backwards compatibility with implementations of earlier versions of this specification which did not require Router Alert.

  • Ignorez les messages de rapport sans options d'alerte routeur (Router Alert) [RFC 2113], et exigez que les routeurs ne transmettent pas les messages de rapport. (Cette exigence n'est pas une exigence de filtrage généralisé dans le chemin de transfert, car les paquets contiennent déjà des options d'alerte routeur). Cette solution rompt la compatibilité ascendante avec les implémentations des versions antérieures de cette spécification qui ne nécessitaient pas d'alerte routeur.

A forged Version 1 Report Message may put a router into "version 1 members present" state for a particular group, meaning that the router will ignore Leave messages. This can cause traffic to flow to groups with no members for up to [Group Membership Interval]. There are two defenses against forged v1 Reports:

Un message de rapport de version 1 falsifié peut placer un routeur dans l'état « membres de version 1 présents » pour un groupe particulier, ce qui signifie que le routeur ignorera les messages de départ. Cela peut entraîner l'envoi de trafic vers des groupes sans membres pendant une durée pouvant aller jusqu'à [Intervalle d'appartenance au groupe]. Il existe deux défenses contre les rapports v1 falsifiés :

  • To defend against externally sourced v1 Reports, ignore the Report if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that v1 Reports sent by mobile hosts without addresses on the local subnet will be ignored.

  • Pour se défendre contre les rapports v1 provenant de l'extérieur, ignorez le rapport si vous ne pouvez pas identifier l'adresse source du paquet comme appartenant à un sous-réseau attribué à l'interface sur laquelle le paquet a été reçu. Cette solution signifie que les rapports v1 envoyés par des hôtes mobiles sans adresse sur le sous-réseau local seront ignorés.

  • Provide routers with a configuration switch to ignore Version 1 messages completely. This breaks automatic compatibility with Version 1 hosts, so should only be used in situations where "fast leave" is critical. This solution protects against forged version 1 reports from the local subnet as well.

  • Fournissez aux routeurs un commutateur de configuration pour ignorer complètement les messages de version 1. Cela rompt la compatibilité automatique avec les hôtes de version 1 et ne doit donc être utilisé que dans les situations où le « départ rapide » (fast leave) est critique. Cette solution protège également contre les rapports de version 1 falsifiés provenant du sous-réseau local.

Leave message:

Message de départ (Leave message) :

A forged Leave message will cause the Querier to send out Group-Specific Queries for the group in question. This causes extra processing on each router and on each member of the group, but can not cause loss of desired traffic. There are two defenses against externally forged Leave messages:

Un message de départ falsifié amènera le questionneur à envoyer des requêtes spécifiques au groupe (Group-Specific Queries) pour le groupe en question. Cela entraîne un traitement supplémentaire sur chaque routeur et sur chaque membre du groupe, mais ne peut pas entraîner la perte du trafic souhaité. Il existe deux défenses contre les messages de départ falsifiés de l'extérieur :

  • Ignore the Leave message if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that Leave messages sent by mobile hosts without addresses on the local subnet will be ignored.

  • Ignorez le message de départ si vous ne pouvez pas identifier l'adresse source du paquet comme appartenant à un sous-réseau attribué à l'interface sur laquelle le paquet a été reçu. Cette solution signifie que les messages de départ envoyés par des hôtes mobiles sans adresse sur le sous-réseau local seront ignorés.

  • Ignore Leave messages without Router Alert options [RFC 2113], and require that routers not forward Leave messages. (The requirement is not a requirement of generalized filtering in the forwarding path, since the packets already have Router Alert options in them). This solution breaks backwards compatibility with implementations of earlier versions of this specification which did not require Router Alert.

  • Ignorez les messages de départ sans options d'alerte routeur [RFC 2113], et exigez que les routeurs ne transmettent pas les messages de départ. (Cette exigence n'est pas une exigence de filtrage généralisé dans le chemin de transfert, car les paquets contiennent déjà des options d'alerte routeur). Cette solution rompt la compatibilité ascendante avec les implémentations des versions antérieures de cette spécification qui ne nécessitaient pas d'alerte routeur.

Dernière mise à jour le