Aller au contenu principal

10. Security Considerations (Considérations de sécurité)

10.1 Intégrité de l'en-tête de paquet

L'en-tête d'authentification IPsec (Authentication Header, AH) défini dans [RFC4302] peut être utilisé pour fournir l'intégrité des champs d'en-tête IPv6 du paquet et des en-têtes d'extension, ainsi que des données de charge utile.

10.2 Confidentialité du paquet

L'encapsulation de charge utile de sécurité IPsec (Encapsulating Security Payload, ESP) définie dans [RFC4303] peut être utilisée pour fournir la confidentialité des données de charge utile du paquet et, optionnellement, la confidentialité du flux de trafic.

Cependant, notez que les champs d'en-tête IPv6 et tous les en-têtes d'extension, y compris l'en-tête de routage, ne sont pas protégés par ESP. Par conséquent, le destinataire doit être conscient que les valeurs de ces champs peuvent avoir été modifiées pendant le transit.

10.3 Analyse du trafic

Un espion passif peut être capable de déduire des informations sur le trafic IPv6 en observant les champs non chiffrés, tels que le champ Traffic Class, le champ Flow Label, les adresses source et destination, le champ Payload Length et le champ Next Header.

La fonctionnalité de confidentialité du flux de trafic d'ESP, comme décrit dans [RFC4303], peut être utilisée pour atténuer une telle divulgation d'informations.

10.4 En-tête de routage

L'abus de l'en-tête de routage (Routing Header) peut entraîner des attaques par déni de service (Denial of Service) et d'autres problèmes de sécurité. [RFC5095] déconseille l'utilisation de l'en-tête de routage de type 0 et spécifie que les nœuds IPv6 ne doivent pas (MUST NOT) transférer des paquets contenant ce type d'en-tête de routage.

10.5 Fragmentation

La fragmentation peut être la source de divers problèmes de sécurité. Les attaquants peuvent tenter d'utiliser des paquets fragmentés pour contourner les pare-feu et autres mécanismes de sécurité. De plus, le réassemblage des fragments nécessite des ressources mémoire et peut être exploité pour des attaques par déni de service.

Les implémenteurs devraient (SHOULD) implémenter des protections contre l'attaque des fragments qui se chevauchent décrite dans [RFC5722].

10.6 Longueur de la chaîne d'en-têtes IPv6

Les chaînes d'en-têtes d'extension très longues peuvent consommer des ressources de traitement et peuvent être exploitées pour des attaques par déni de service. Les implémenteurs devraient (SHOULD) envisager d'imposer des limites sur la longueur maximale des chaînes d'en-têtes d'extension qu'ils acceptent.

Dernière mise à jour le