Aller au contenu principal

9. Considérations de sécurité

Nous considérons les ramifications d'un message falsifié de chaque type.

9.1. Message Query

Un message Query falsifié provenant d'une machine avec une adresse IP inférieure à celle du Querier actuel provoquera une élection de Querier. Cela peut amener le Querier actuel à arrêter d'envoyer des Queries et à attendre que le nouveau Querier démarre. Étant donné que le nouveau Querier n'est pas valide, le minuteur Query sur les routeurs peut finalement expirer, les amenant à supprimer leurs informations d'appartenance.

Une attaque DoS est possible en envoyant des Queries falsifiées avec un petit Max Resp Code. Cela provoquerait l'envoi simultané de Reports par tous les hôtes sur le LAN, submergeant potentiellement le réseau ou le routeur.

9.2. Messages Current State Report

Un message Report falsifié peut amener le routeur à croire qu'il y a des membres d'un groupe sur un réseau alors qu'il n'y en a pas. Cela peut entraîner le transfert inutile de trafic multicast vers le réseau, consommant de la bande passante.

9.3. Messages State Change Report

Un message State Change Report falsifié peut amener le routeur à croire qu'un système a rejoint ou quitté un groupe. Les rapports "Join" falsifiés (ALLOW ou TO_IN) causent du trafic inutile. Les rapports "Leave" falsifiés (BLOCK ou TO_EX) peuvent amener le routeur à envoyer une Group-Specific Query, et si aucun hôte valide ne répond à temps, le routeur peut arrêter de transférer le trafic pour le groupe, causant un déni de service aux membres légitimes.

9.4. IPsec

L'en-tête d'authentification IPsec (AH) [RFC2402] peut être utilisé pour protéger les messages IGMP. Lorsque AH est utilisé, l'authentification est appliquée à l'ensemble du paquet IP, y compris le message IGMP. Cela peut empêcher la falsification de messages IGMP. Cependant, la gestion des clés pour le multicast est complexe et constitue un domaine de recherche en cours.

Dernière mise à jour le