Aller au contenu principal

11. Considérations de sécurité (Security Considerations)

Ce chapitre traite des problèmes de sécurité du protocole SCTP, des menaces potentielles et des mécanismes de protection correspondants.

11.1. Objectifs de sécurité

11.1.1. Protection de l'intégrité

  • Checksum CRC32c: Protège l'ensemble du paquet
  • Verification Tag: Prévient la falsification de paquets

11.1.2. Protection de la disponibilité

  • Mécanisme Cookie: Prévient les attaques SYN flood
  • Multihoming: Fournit une redondance de chemin

11.1.3. Confidentialité

Note: SCTP ne fournit pas de chiffrement. Utilisation recommandée: TLS/DTLS/IPsec.

11.2. Réponses SCTP aux menaces potentielles

11.2.1. Attaques d'usurpation

Protection: Validation Verification Tag, handshake à 4 voies, State Cookie avec signature HMAC

11.2.2. Attaques par rejeu

Protection: TSN (croissant monotone), durée de vie Cookie, Verification Tag unique par association

11.2.3. Attaques de déni de service

Attaques type SYN flood

Mécanisme Cookie:

1. Réception INIT → Pas d'allocation TCB
2. Génération State Cookie → Envoi INIT ACK
3. Réception COOKIE ECHO → Allocation TCB à ce moment

Attaques par inondation de paquets

Protection: Filtrage Verification Tag, vérification checksum, contrôle de congestion

Attaques d'exploitation multihoming

Protection: Vérification adresse via HEARTBEAT, limitation de débit

11.2.4. Écoute clandestine

Limitation: SCTP ne fournit pas de chiffrement Recommandé: TLS over SCTP, DTLS over SCTP, IPsec

11.2.5. Attaques aveugles

Difficulté: Deviner Verification Tag 32 bits + plage TSN Probabilité de succès: 1/2^32 ou moins

11.3. Interactions SCTP avec les pare-feu

11.3.1. Défis

  • Compréhension de la machine d'état SCTP nécessaire
  • Gestion multihoming (adresses IP multiples)
  • Ajout/suppression dynamique d'adresses

11.3.2. Recommandations

Filtrage de base:

  • Vérification checksum SCTP
  • Suivi d'état
  • Limitation de débit INIT
  • Support multihoming

Configuration:

Autorisé (sortant): INIT, COOKIE ECHO, DATA, SACK, HEARTBEAT
Autorisé (entrant): INIT ACK, COOKIE ACK, DATA, SACK, HEARTBEAT ACK
Bloqué: Transitions d'état invalides, Verification Tag incorrect

11.3.3. Considérations NAT

Défi: SCTP contient des informations d'adresse IP (INIT, ASCONF) Recommandé: NAT/ALG compatible SCTP, techniques de traversée NAT

11.4. Protection des hôtes non compatibles SCTP

11.4.1. Problème

Attaquant utilise SCTP INIT contre hôtes non compatibles SCTP

11.4.2. Comportement SCTP

Réception erreur ICMP: Journaliser, marquer chemin inaccessible, ne pas interrompre immédiatement Limitation de débit: Limiter taux d'envoi INIT vers destination unique

11.4.3. Protection réseau

  • Filtrage d'entrée: Prévenir l'usurpation d'adresse source (BCP 38)
  • Filtrage de sortie: Limiter trafic SCTP vers ports non-SCTP
  • Pare-feu hôte: Rejeter paquets de protocoles non supportés

Résumé

Mécanismes de sécurité SCTP:

  1. Verification Tag (prévention falsification/attaques aveugles)
  2. Mécanisme Cookie (prévention SYN flood)
  3. Checksum CRC32c (détection falsification/erreurs)
  4. Vérification adresse (prévention abus multihoming)
  5. Handshake à 4 voies (authentification renforcée)

Limitations:

  • Pas de chiffrement (nécessite TLS/DTLS/IPsec)
  • Pas d'authentification source (nécessite mécanismes couche supérieure)

Meilleures pratiques:

  • Utiliser couche de chiffrement pour données sensibles
  • Implémenter limitation de débit et surveillance
  • Configurer correctement pare-feu et NAT
  • Suivre pratiques de codage sécurisé
  • Appliquer rapidement mises à jour sécurité
Dernière mise à jour le