15. Considérations de sécurité
15. Considérations de sécurité (Security Considerations)
La compression d'en-têtes en elle-même n'introduit pas de nouveaux problèmes de sécurité. Cependant, les points suivants méritent attention :
Déni de service (Denial of service)
Un attaquant pourrait tenter d'épuiser l'espace de contexte du compresseur ou du décompresseur en envoyant de nombreux flux de paquets différents. Cela peut être atténué en limitant le nombre de flux de paquets pouvant être compressés simultanément.
Un attaquant pourrait également tenter d'épuiser la mémoire de contexte en envoyant des paquets avec de nombreux en-têtes d'extension. Cela peut être atténué en limitant la longueur maximale des en-têtes stockés dans le contexte (voir le paramètre MAX_HEADER).
Détournement de contexte (Context hijacking)
Un attaquant pourrait tenter de détourner un contexte existant en envoyant des paquets avec le même CID. Cela ne peut se produire que si l'attaquant a accès à la liaison. Dans ce cas, l'attaquant peut déjà lire ou modifier tout le trafic, donc la compression d'en-têtes ne rend pas la situation pire.
Considérations IPsec (IPsec considerations)
Lors de l'utilisation de la compression d'en-têtes avec IPsec, une attention particulière est nécessaire. L'en-tête d'authentification IPsec (AH) protège l'intégralité du paquet IP, y compris l'en-tête IP. Si l'en-tête IP est compressé, AH ne pourra pas authentifier le paquet.
Une solution consiste à appliquer la compression d'en-têtes aux extrémités du tunnel IPsec, c'est-à-dire après ou avant le traitement IPsec. Une autre solution consiste à utiliser la charge utile de sécurité encapsulée IPsec (ESP) plutôt qu'AH, car ESP ne protège pas l'en-tête IP externe.