Passa al contenuto principale

11. Considerazioni sulla Sicurezza

Si applicano le considerazioni sulla sicurezza di IPv6 ND [RFC4861] e dell'autoconfigurazione dell'indirizzo [RFC4862]. Ulteriori considerazioni possono essere trovate in [RFC3756].

C'è una leggera modifica a queste considerazioni, dovuta al fatto che in questa specifica il flag M negli RA disabilita l'uso dell'autoconfigurazione dell'indirizzo senza stato per indirizzi non derivati da EUI-64. Pertanto, un router malevolo sul collegamento può forzare l'uso del solo DHCP per indirizzi brevi, mentre in [RFC4861] e [RFC4862] il router malevolo potrebbe solo causare l'aggiunta di DHCP e non disabilitare l'autoconfigurazione dell'indirizzo senza stato per indirizzi brevi.

Questa specifica presuppone che il livello di collegamento sia sufficientemente protetto -- ad esempio, utilizzando la crittografia del sottolivello MAC. Pertanto, il suo modello di minaccia non è diverso da quello di IPv6 ND [RFC4861]. Il primo modello di fiducia elencato nella Sezione 3 di [RFC3756] si applica qui. Tuttavia, qualsiasi futuro protocollo di sicurezza 6LoWPAN che si applica a ND per il protocollo 6LoWPAN è fuori dall'ambito di questo documento.

I meccanismi DAD multihop si basano su messaggi DAR e DAC che vengono inoltrati dai 6LR e, di conseguenza, il controllo hop_limit=255 sul ricevitore non si applica a quei messaggi. Ciò implica che qualsiasi nodo su Internet potrebbe inviare con successo tali messaggi. Evitiamo qualsiasi problema di sicurezza aggiuntivo dovuto a ciò richiedendo che i router non modifichino mai l'NCE a causa di tali messaggi e che li scartino a meno che non vengano ricevuti su un'interfaccia che è stata esplicitamente configurata per utilizzare queste ottimizzazioni.

In alcune implementazioni future, si potrebbe voler utilizzare SEcure Neighbor Discovery (SEND) [RFC3971] [RFC3972]. Questo è possibile con l'ARO inviato tra host e router, poiché l'indirizzo che viene registrato è l'indirizzo sorgente IPv6 dell'NS e SEND verifica l'indirizzo sorgente IPv6 del pacchetto. L'applicazione di SEND alla comunicazione router-to-router in questo documento è fuori dall'ambito.

Ultimo aggiornamento il