Aller au contenu principal

7. Security Considerations (Considérations de sécurité)

7. Security Considerations (Considérations de sécurité)

Cette section examine les considérations de sécurité liées au SRH, étant donné le traitement du SRH et les modèles de déploiement discutés dans ce document.

Comme décrit dans la Section 5, il est nécessaire de filtrer l'entrée des paquets dans le domaine SR, destinés aux SIDs au sein du domaine SR (c'est-à-dire portant un SID dans l'adresse de destination). Ce filtrage d'entrée se fait via une IACL aux nœuds de bordure d'entrée du domaine SR. Une protection supplémentaire est appliquée via une IACL à chaque nœud de point de terminaison de segment SR, filtrant les paquets ne provenant pas du domaine SR, destinés aux SIDs dans le domaine SR. Les ACL sont facilement supportées pour de petits nombres de préfixes rarement modifiés, ce qui rend la synthèse importante.

De plus, le filtrage d'entrée des adresses sources IPv6 tel que recommandé dans le BCP 38 [RFC2827] DEVRAIT être utilisé.

7.1. SR Attacks (Attaques SR)

Un domaine SR implémente une protection distribuée et par nœud comme décrit dans la Section 5.1. De plus, les domaines refusent le trafic avec des adresses usurpées en implémentant les recommandations du BCP 84 [RFC3704].

La mise en œuvre complète de la protection recommandée bloque les attaques documentées dans [RFC5095] provenant de l'extérieur du domaine SR, incluant le contournement des dispositifs de filtrage, l'accès à des systèmes Internet autrement inaccessibles, la découverte de topologie réseau, l'épuisement de la bande passante et la défaite de l'anycast.

Le défaut de mise en œuvre de la protection distribuée et par nœud permet aux attaquants de contourner les dispositifs de filtrage et expose le domaine SR à ces attaques.

Les nœuds compromis au sein du domaine SR peuvent monter les attaques listées ci-dessus ainsi que d'autres attaques connues sur les réseaux IP (par exemple, DoS/DDoS, découverte de topologie, homme du milieu, interception/siphonage de trafic).

7.2. Service Theft (Vol de service)

Le vol de service est défini comme l'utilisation d'un service offert par le domaine SR par un nœud non autorisé à utiliser le service.

Le vol de service n'est pas une préoccupation au sein du domaine SR, car tous les nœuds sources SR et les nœuds de point de terminaison de segment SR au sein du domaine sont capables d'utiliser les services du domaine. Si un nœud extérieur au domaine SR apprend l'existence de segments ou d'un service topologique au sein du domaine SR, le filtrage IACL refuse l'accès à ces segments.

7.3. Topology Disclosure (Divulgation de topologie)

Le SRH n'est pas chiffré et peut contenir des SIDs de certains nœuds SR intermédiaires dans le chemin vers la destination au sein du domaine SR. Si les paquets peuvent être espionnés au sein du domaine SR, le SRH peut révéler la topologie, les flux de trafic et l'utilisation des services.

Ceci est applicable au sein d'un domaine SR, mais la divulgation est moins pertinente car un attaquant dispose d'autres moyens d'apprendre la topologie, les flux et l'utilisation des services.

7.4. ICMP Generation (Génération ICMP)

La génération de messages d'erreur ICMPv6 peut être utilisée pour tenter des attaques par déni de service en envoyant une adresse de destination ou un SRH provoquant une erreur dans des paquets consécutifs. Une implémentation qui suit correctement la Section 2.4 de [RFC4443] serait protégée par le mécanisme de limitation de débit ICMPv6.

7.5. Applicability of AH (Applicabilité de AH)

Le domaine SR est un domaine de confiance, tel que défini dans [RFC8402], Sections 2 et 8.2. La source SR est de confiance pour ajouter un SRH (optionnellement vérifié comme ayant été généré par une source de confiance via le TLV HMAC dans ce document), et les segments annoncés au sein du domaine sont considérés comme précis et annoncés par des sources de confiance via un plan de contrôle sécurisé. En tant que tel, le domaine SR ne repose pas sur l'Authentication Header (AH) tel que défini dans [RFC4302] pour sécuriser le SRH.

L'utilisation du SRH avec AH par un nœud source SR et son traitement à un nœud de point de terminaison de segment SR ne sont pas définis dans ce document. Des documents futurs peuvent définir l'utilisation du SRH avec AH et son traitement.

Dernière mise à jour le