Aller au contenu principal

5. Considérations de sécurité (Security Considerations)

5.1. Authentification et confidentialité des messages ICMP (Authentication and Confidentiality of ICMP Messages)

Les échanges de paquets du protocole ICMP peuvent être authentifiés à l'aide de l'en-tête d'authentification IP (IP Authentication Header) [IPv6-AUTH] ou de l'en-tête de charge utile de sécurité encapsulante IP (IP Encapsulating Security Payload Header) [IPv6-ESP]. La confidentialité des échanges de paquets du protocole ICMP peut être obtenue à l'aide de l'en-tête de charge utile de sécurité encapsulante IP [IPv6-ESP].

[SEC-ARCH] décrit en détail la gestion IPsec du trafic ICMP.

5.2. Attaques ICMP (ICMP Attacks)

Les messages ICMP peuvent être sujets à diverses attaques. Une discussion complète peut être trouvée dans l'architecture de sécurité IP (IP Security Architecture) [IPv6-SA]. Une brève discussion de ces attaques et de leur prévention suit :

  1. Les messages ICMP peuvent être sujets à des actions destinées à faire croire au récepteur que le message provient d'une source différente de celle de l'émetteur du message. La protection contre cette attaque peut être obtenue en appliquant le mécanisme d'authentification IPv6 [IPv6-AUTH] au message ICMP.

  2. Les messages ICMP peuvent être sujets à des actions destinées à faire en sorte que le message ou la réponse à celui-ci aille vers une destination différente de celle de l'intention de l'émetteur du message. La protection contre cette attaque peut être obtenue en utilisant l'en-tête d'authentification (Authentication Header) [IPv6-AUTH] ou l'en-tête de charge utile de sécurité encapsulante (Encapsulating Security Payload Header) [IPv6-ESP]. L'en-tête d'authentification fournit la protection contre les modifications de l'adresse source et de l'adresse de destination du paquet IP. L'en-tête de charge utile de sécurité encapsulante ne fournit pas cette protection, mais le calcul de la somme de contrôle ICMP inclut les adresses source et de destination, et l'en-tête de charge utile de sécurité encapsulante protège la somme de contrôle. Par conséquent, la combinaison de la somme de contrôle ICMP et de l'en-tête de charge utile de sécurité encapsulante fournit une protection contre cette attaque.

  3. Les messages ICMP peuvent être sujets à des modifications des champs du message ou de la charge utile. L'authentification [IPv6-AUTH] ou le chiffrement [IPv6-ESP] du message ICMP protège contre de telles actions.

  4. Les messages ICMP peuvent être utilisés pour tenter des attaques par déni de service en envoyant des paquets IP erronés l'un après l'autre. Une implémentation qui a correctement suivi la Section 2.4, paragraphe (f), de cette spécification serait protégée par le mécanisme de limitation du taux d'erreur ICMP.

  5. L'exception numéro 2 de la règle e.3 dans la Section 2.4 donne à un nœud malveillant l'opportunité de causer une attaque par déni de service à une source multicast. Un nœud malveillant peut envoyer un paquet multicast avec une option de destination inconnue marquée comme obligatoire, avec l'adresse source IPv6 d'une source multicast valide. Un grand nombre de nœuds de destination enverront un message ICMP Parameter Problem à la source multicast, causant une attaque par déni de service. Cette attaque ne peut être évitée qu'en sécurisant le trafic multicast.

  6. Comme les messages ICMP sont transmis aux processus de couche supérieure, il est possible d'effectuer des attaques sur les protocoles de couche supérieure (par exemple, TCP) avec ICMP [TCP-attack]. Il est recommandé que les couches supérieures effectuent une certaine forme de validation des messages ICMP (en utilisant les informations contenues dans la charge utile du message ICMP) avant d'agir en conséquence. Les vérifications de validation réelles sont spécifiques aux couches supérieures et sont hors de la portée de cette spécification. La protection de la couche supérieure avec IPsec atténue ces attaques.

    Les messages d'erreur ICMP signalent des conditions d'erreur réseau qui ont été rencontrées lors du traitement d'un datagramme Internet. Selon le scénario particulier, les conditions d'erreur signalées peuvent ou non être résolues à court terme. Par conséquent, la réaction aux messages d'erreur ICMP peut dépendre non seulement du type et du code d'erreur, mais également d'autres facteurs, tels que le moment où les messages d'erreur sont reçus, la connaissance préalable des conditions d'erreur réseau signalées et la connaissance du scénario réseau dans lequel l'hôte récepteur opère.

Dernière mise à jour le