Aller au contenu principal

11. Considérations de Sécurité

Les considérations de sécurité de l'IPv6 ND [RFC4861] et de l'autoconfiguration d'adresse [RFC4862] s'appliquent. Des considérations supplémentaires peuvent être trouvées dans [RFC3756].

Il y a une légère modification à ces considérations, due au fait que dans cette spécification, le drapeau M dans les RA désactive l'utilisation de l'autoconfiguration d'adresse sans état pour les adresses non dérivées de l'EUI-64. Ainsi, un routeur malveillant sur le lien peut forcer l'utilisation uniquement de DHCP pour les adresses courtes, alors que dans [RFC4861] et [RFC4862], le routeur malveillant ne pouvait que provoquer l'ajout de DHCP et non désactiver l'autoconfiguration d'adresse sans état pour les adresses courtes.

Cette spécification suppose que la couche de liaison est suffisamment protégée -- par exemple, en utilisant la cryptographie de la sous-couche MAC. Ainsi, son modèle de menace n'est pas différent de celui de l'IPv6 ND [RFC4861]. Le premier modèle de confiance répertorié à la Section 3 de [RFC3756] s'applique ici. Cependant, tout futur protocole de sécurité 6LoWPAN qui s'applique au ND pour le protocole 6LoWPAN est hors de la portée de ce document.

Les mécanismes DAD à sauts multiples reposent sur les messages DAR et DAC qui sont transmis par les 6LR, et par conséquent, la vérification hop_limit=255 sur le récepteur ne s'applique pas à ces messages. Cela implique que tout nœud sur Internet pourrait envoyer avec succès de tels messages. Nous évitons tout problème de sécurité supplémentaire dû à cela en exigeant que les routeurs ne modifient jamais la NCE en raison de tels messages, et qu'ils les rejettent à moins qu'ils ne soient reçus sur une interface qui a été explicitement configurée pour utiliser ces optimisations.

Dans certains déploiements futurs, on pourrait vouloir utiliser la Découverte de Voisins SÉcurisée (SEND) [RFC3971] [RFC3972]. Ceci est possible avec l'ARO tel qu'envoyé entre les hôtes et les routeurs, puisque l'adresse qui est enregistrée est l'adresse source IPv6 du NS et que SEND vérifie l'adresse source IPv6 du paquet. L'application de SEND à la communication de routeur à routeur dans ce document est hors de portée.

Dernière mise à jour le