Aller au contenu principal

6. Considérations de sécurité

Le champ d'étiquette de flux se trouve dans une partie non protégée de l'en-tête IPv6, ce qui signifie qu'il peut être modifié par n'importe quel nœud le long du chemin sans détection.

6.1. Risque de canal caché

Le champ d'étiquette de flux pourrait potentiellement être utilisé comme un canal caché pour transmettre des informations. Les administrateurs réseau peuvent choisir de effacer le champ d'étiquette de flux aux frontières de sécurité.

6.2. Vol et déni de service

Si un attaquant peut deviner ou observer la valeur de l'étiquette de flux utilisée par un flux légitime, l'attaquant pourrait injecter des paquets ou voler des ressources. Les nœuds sources devraient utiliser une fonction pseudo-aléatoire pour générer des valeurs d'étiquette de flux.

6.3. Interactions IPsec et tunneling

En mode transport IPsec, l'étiquette de flux n'est pas protégée par l'authentification ou le chiffrement IPsec. En mode tunnel IPsec, l'en-tête IPv6 original (y compris l'étiquette de flux) est encapsulé dans un nouvel en-tête IPv6.

6.4. Interactions de filtrage de sécurité

Les pare-feu qui effectuent un filtrage de paquets avec état peuvent utiliser l'étiquette de flux comme partie de leur mécanisme d'identification de flux. Cependant, les pare-feu ne doivent pas se fier uniquement à l'étiquette de flux pour les décisions de sécurité.

Dernière mise à jour le