Aller au contenu principal

9. Transport (Transport)

9. Transport (Transport)

La session de couche transport entre un routeur et un cache transporte les PDU binaires dans une session persistante.

Pour empêcher l'usurpation de cache et les attaques DoS, il est hautement souhaitable que le routeur et le cache soient authentifiés l'un envers l'autre. La protection de l'intégrité des charges utiles est également souhaitable pour se protéger contre les attaques de l'homme du milieu (MITM).

Les caches et les routeurs DOIVENT implémenter un transport non protégé sur TCP en utilisant le port rpki-rtr (323). Les opérateurs DEVRAIENT utiliser des moyens procéduraux, par exemple des listes de contrôle d'accès (ACL), pour réduire l'exposition aux problèmes d'authentification.

Si le TCP non protégé est le transport, le cache et les routeurs DOIVENT se trouver sur le même réseau de confiance et contrôlé.

Si disponible pour l'opérateur, les caches et les routeurs DOIVENT utiliser l'un des protocoles plus protégés suivants:

  • Les caches et les routeurs DEVRAIENT utiliser le transport TCP-AO [RFC5925] sur le port rpki-rtr.
  • Les caches et les routeurs PEUVENT utiliser le transport Secure Shell version 2 (SSHv2) [RFC4252] en utilisant le port SSH normal.
  • Les caches et les routeurs PEUVENT utiliser le transport TCP MD5 [RFC2385] en utilisant le port rpki-rtr.
  • Les caches et les routeurs PEUVENT utiliser le transport TCP over IPsec [RFC4301] en utilisant le port rpki-rtr.
  • Les caches et les routeurs PEUVENT utiliser le transport Transport Layer Security (TLS) [RFC5246] en utilisant le port rpki-rtr-tls (324).
Dernière mise à jour le