Passa al contenuto principale

6. Considerazioni sulla sicurezza

Il campo dell'etichetta di flusso si trova in una parte non protetta dell'intestazione IPv6, il che significa che può essere modificato da qualsiasi nodo lungo il percorso senza rilevamento.

6.1. Rischio di canale nascosto

Il campo dell'etichetta di flusso potrebbe potenzialmente essere utilizzato come canale nascosto per trasmettere informazioni. Gli amministratori di rete possono scegliere di cancellare il campo dell'etichetta di flusso ai confini di sicurezza.

6.2. Furto e denial of service

Se un attaccante può indovinare o osservare il valore dell'etichetta di flusso utilizzato da un flusso legittimo, l'attaccante potrebbe iniettare pacchetti o rubare risorse. I nodi sorgente dovrebbero utilizzare una funzione pseudo-casuale per generare valori dell'etichetta di flusso.

6.3. Interazioni IPsec e tunneling

In modalità trasporto IPsec, l'etichetta di flusso non è protetta dall'autenticazione o dalla crittografia IPsec. In modalità tunnel IPsec, l'intestazione IPv6 originale (inclusa l'etichetta di flusso) è incapsulata in una nuova intestazione IPv6.

6.4. Interazioni di filtraggio della sicurezza

I firewall che eseguono il filtraggio dei pacchetti stateful possono utilizzare l'etichetta di flusso come parte del loro meccanismo di identificazione del flusso. Tuttavia, i firewall non devono fare affidamento esclusivamente sull'etichetta di flusso per le decisioni di sicurezza.

Ultimo aggiornamento il