Passa al contenuto principale

10. Security Considerations (Considerazioni sulla sicurezza)

10.1 Integrità dell'header del pacchetto

L'Authentication Header (AH) IPsec, definito in [RFC4302], può essere utilizzato per fornire l'integrità dei campi dell'header IPv6 del pacchetto e degli header di estensione, nonché dei dati del payload.

10.2 Riservatezza del pacchetto

L'Encapsulating Security Payload (ESP) IPsec, definita in [RFC4303], può essere utilizzata per fornire la riservatezza dei dati del payload del pacchetto e opzionalmente la riservatezza del flusso di traffico.

Si noti tuttavia che i campi dell'header IPv6 e tutti gli header di estensione, incluso l'header di routing, non sono protetti da ESP. Pertanto, il ricevitore deve essere consapevole che i valori di questi campi potrebbero essere stati modificati durante il transito.

10.3 Analisi del traffico

Un osservatore passivo potrebbe essere in grado di dedurre informazioni sul traffico IPv6 osservando i campi non crittografati, come il campo Traffic Class, il campo Flow Label, gli indirizzi di origine e destinazione, il campo Payload Length e il campo Next Header.

La funzione di riservatezza del flusso di traffico di ESP, come descritto in [RFC4303], può essere utilizzata per mitigare tale divulgazione di informazioni.

10.4 Header di routing

L'abuso dell'header di routing può portare ad attacchi Denial-of-Service (DoS) e ad altri problemi di sicurezza. [RFC5095] rende obsoleto l'uso dell'header di routing di tipo 0 e specifica che i nodi IPv6 non devono (MUST NOT) inoltrare pacchetti con questo tipo di header di routing.

10.5 Frammentazione

La frammentazione può essere fonte di vari problemi di sicurezza. Gli aggressori possono tentare di utilizzare pacchetti frammentati per eludere firewall e altri meccanismi di sicurezza. Inoltre, il riassemblaggio dei frammenti richiede risorse di memoria e può essere sfruttato per attacchi Denial-of-Service.

Gli implementatori dovrebbero (SHOULD) implementare protezioni contro l'attacco con frammenti sovrapposti descritto in [RFC5722].

10.6 Lunghezza della catena di header IPv6

Catene di header di estensione molto lunghe possono consumare risorse di elaborazione ed essere sfruttate per attacchi Denial-of-Service. Gli implementatori dovrebbero (SHOULD) considerare di impostare limiti alla lunghezza massima delle catene di header di estensione che accettano.

Ultimo aggiornamento il