Passa al contenuto principale

7. Security Considerations (Considerazioni sulla sicurezza)

7. Security Considerations (Considerazioni sulla sicurezza)

Questa sezione esamina le considerazioni sulla sicurezza relative all'SRH, dati i modelli di elaborazione e distribuzione dell'SRH discussi in questo documento.

Come descritto nella Sezione 5, è necessario filtrare l'ingresso dei pacchetti nel dominio SR, destinati ai SID all'interno del dominio SR (cioè, recanti un SID nell'indirizzo di destinazione). Questo filtraggio in ingresso avviene tramite una IACL (Infrastructure Access Control List) nei nodi di confine di ingresso del dominio SR. Una protezione aggiuntiva è applicata tramite una IACL in ogni nodo Segment Endpoint SR, filtrando i pacchetti non provenienti dall'interno del dominio SR, destinati ai SID nel dominio SR. Le ACL sono facilmente supportate per piccoli numeri di prefissi che cambiano raramente, rendendo importante la summarizzazione.

Inoltre, il filtraggio in ingresso degli indirizzi sorgente IPv6 come raccomandato in BCP 38 [RFC2827] DOVREBBE essere utilizzato.

7.1. SR Attacks (Attacchi SR)

Un dominio SR implementa protezione distribuita e per-nodo come descritto nella Sezione 5.1. Inoltre, i domini negano il traffico con indirizzi spoofed implementando le raccomandazioni in BCP 84 [RFC3704].

L'implementazione completa della protezione raccomandata blocca gli attacchi documentati in [RFC5095] dall'esterno del dominio SR, inclusi il bypass di dispositivi di filtraggio, il raggiungimento di sistemi Internet altrimenti irraggiungibili, la scoperta della topologia di rete, l'esaurimento della banda e la sconfitta dell'anycast.

Il mancato implemento della protezione distribuita e per-nodo consente agli attaccanti di bypassare i dispositivi di filtraggio ed espone il dominio SR a questi attacchi.

I nodi compromessi all'interno del dominio SR possono montare gli attacchi elencati sopra insieme ad altri attacchi noti sulle reti IP (ad esempio, DoS/DDoS, scoperta della topologia, man-in-the-middle, intercettazione/siphoning del traffico).

7.2. Service Theft (Furto di servizio)

Il furto di servizio è definito come l'uso di un servizio offerto dal dominio SR da parte di un nodo non autorizzato a utilizzare il servizio.

Il furto di servizio non è una preoccupazione all'interno del dominio SR, poiché tutti i nodi sorgente SR e i nodi segment endpoint SR all'interno del dominio sono in grado di utilizzare i servizi del dominio. Se un nodo esterno al dominio SR apprende dei segmenti o di un servizio topologico all'interno del dominio SR, il filtraggio IACL nega l'accesso a quei segmenti.

7.3. Topology Disclosure (Divulgazione della topologia)

L'SRH non è crittografato e può contenere SID di alcuni nodi SR intermedi nel percorso verso la destinazione all'interno del dominio SR. Se i pacchetti possono essere intercettati all'interno del dominio SR, l'SRH può rivelare topologia, flussi di traffico e utilizzo dei servizi.

Questo è applicabile all'interno di un dominio SR, ma la divulgazione è meno rilevante poiché un attaccante ha altri mezzi per apprendere topologia, flussi e utilizzo dei servizi.

7.4. ICMP Generation (Generazione ICMP)

La generazione di messaggi di errore ICMPv6 può essere utilizzata per tentare attacchi di denial-of-service inviando un indirizzo di destinazione o SRH che causa errori in pacchetti consecutivi. Un'implementazione che segue correttamente la Sezione 2.4 di [RFC4443] sarebbe protetta dal meccanismo di rate-limiting ICMPv6.

7.5. Applicability of AH (Applicabilità di AH)

Il dominio SR è un dominio affidabile, come definito in [RFC8402], Sezioni 2 e 8.2. La sorgente SR è affidabile per aggiungere un SRH (opzionalmente verificato come generato da una sorgente affidabile tramite il TLV HMAC in questo documento), e i segmenti pubblicizzati all'interno del dominio sono affidabili come accurati e pubblicizzati da sorgenti affidabili tramite un piano di controllo sicuro. Pertanto, il dominio SR non si basa sull'Authentication Header (AH) come definito in [RFC4302] per proteggere l'SRH.

L'uso dell'SRH con AH da parte di un nodo sorgente SR e la sua elaborazione in un nodo segment endpoint SR non sono definiti in questo documento. Documenti futuri possono definire l'uso dell'SRH con AH e la sua elaborazione.

Ultimo aggiornamento il