Aller au contenu principal

6. Considérations de sécurité

Ce chapitre discute des implications de sécurité des mises à jour du champ ID IPv4.

6.1 Implications pour la vie privée

La stratégie de génération du champ ID peut divulguer des informations:

  1. Taux d'envoi de datagrammes: Par observation de la croissance de l'ID
  2. Empreinte d'appareil: Identification par modèles d'ID
  3. Suivi d'activité: Suivi par changements d'ID

Contre-mesures:

  • Utiliser des valeurs aléatoires pour les datagrammes atomiques
  • Compteurs par flux au lieu de compteurs globaux
  • Réinitialisation périodique des compteurs
  • Valeurs initiales aléatoires

6.2 Attaques de fragmentation

La fragmentation IPv4 peut être exploitée pour diverses attaques:

6.2.1 Attaques de réassemblage

Les attaquants peuvent:

  1. Épuisement des ressources: Envoyer des fragments incomplets
  2. Erreurs de réassemblage: Fragments avec même ID mais contenu différent
  3. Contournement de pare-feu: Fragmenter pour éviter l'inspection

Contre-mesures:

  • Utiliser des datagrammes atomiques (DF=1)
  • Path MTU Discovery
  • Limiter les fragments incomplets
  • Validation des fragments

6.3 Attaques de collision d'ID

Les attaquants peuvent exploiter la capacité limitée de l'ID:

  1. Attaque de prédiction d'ID: Prédire les algorithmes de génération
  2. Attaque d'épuisement d'ID: Épuiser rapidement l'espace ID
  3. Attaque d'interférence de réassemblage: Fragments forgés avec même ID

Contre-mesures:

  • Génération d'ID randomisée
  • Espace ID par flux
  • Validation de la couche transport
  • IPsec

6.4 Attaques par déni de service

Le traitement du champ ID IPv4 peut être ciblé par des attaques DoS.

Contre-mesures:

  • Limitation de débit
  • Gestion des ressources
  • Traitement prioritaire des datagrammes atomiques
  • Pare-feu et filtrage

6.5 Comparaison avec IPv6

La fragmentation IPv6 est plus sécurisée:

  1. Fragmentation de bout en bout: Seuls les nœuds sources fragmentent
  2. Champ d'identification 32 bits: Plus grand espace ID
  3. En-tête de fragmentation explicite: Traitement plus clair

6.6 Recommandations

  1. Préférer les datagrammes atomiques (DF=1)
  2. Utiliser la génération d'ID randomisée
  3. S'appuyer sur la protection de la couche transport
  4. Déployer des mécanismes de surveillance
  5. Maintenir à jour

Navigation:

Dernière mise à jour le