cyber-accord
Livre IPv6 avec MikroTik, RouterOS v7
Matériel d'étude pour le cours de certification MTCIPv6E mis à jour vers RouterOS v7
$19,97
Ajouter au panier
Fonctionnalités de sécurité IPv6 (partie 1)
- Ingrid Espinoza
- Pas de commentaires
- Partagez cet article
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Protocole de découverte de voisin sécurisé IPv6 (SEND)
Le protocole de découverte de voisin sûr (ENVOYER : Protocole de découverte de voisin sécurisé) est un protocole conçu pour améliorer la sécurité dans le processus de découverte et de résolution des adresses IPv6 dans les réseaux locaux.
SEND est basé sur le Protocole de découverte de voisin (NDP) d'IPv6 et assure l'authentification et la protection de l'intégrité des messages de découverte de voisins.
L'objectif principal de SEND est de prévenir les attaques d'usurpation d'identité et d'empoisonnement du cache, qui sont courantes dans les réseaux IPv6. Ces attaques peuvent permettre à un attaquant de rediriger du trafic légitime ou d'intercepter des informations sensibles. SEND utilise la cryptographie et les signatures numériques pour vérifier l'identité des voisins et garantir l'authenticité des messages de découverte des voisins.
Le fonctionnement de SEND implique les composants suivants :
Certificats de voisinage
SEND utilise des certificats X.509 pour authentifier l'identité des voisins. Chaque voisin doit obtenir un certificat signé par une autorité de certification (CA) de confiance. Ces certificats contiennent les informations nécessaires pour vérifier l'identité et l'authenticité du voisin.
Messages de demande et de réponse du voisin sécurisé
SEND utilise des messages de demande et de réponse de voisin sécurisé pour effectuer une découverte de voisin en toute sécurité. Ces messages sont protégés par cryptographie et signatures numériques. Le voisin demandeur inclut son certificat dans le message de requête et le voisin cible répond avec son certificat et une signature numérique.
Processus de vérification
Lorsqu'un voisin reçoit un message de découverte de voisin sécurisé, il vérifie l'authenticité et l'intégrité du message à l'aide des informations de certificat et de la signature numérique. Si la vérification réussit, le voisin considère le voisin distant comme authentique et digne de confiance.
Détection des changements dans la topologie du réseau
SEND fournit des fonctionnalités supplémentaires pour détecter les changements dans la topologie du réseau. Si un voisin détecte des changements importants dans son environnement réseau, comme l'apparition de nouveaux voisins ou l'absence de voisins existants, il peut envoyer des messages de notification aux autres voisins pour les informer de la situation.
Mise à jour du cache voisin
Si un voisin reçoit une réponse de voisin sécurisé et la vérifie avec succès, il met à jour son cache voisin avec l'adresse IPv6 et les informations du voisin authentifié. Cela empêche l'insertion éventuelle de fausses informations dans le cache voisin et contribue à garantir le bon chemin pour les communications.
Exigences en matière d'infrastructure à clé publique (PKI)
La mise en œuvre de SEND nécessite une infrastructure à clé publique (PKI) pour gérer et valider les certificats utilisés dans le processus d'authentification. Cela implique la mise en place et la maintenance d’une autorité de certification (CA) de confiance qui émet et signe les certificats voisins.
Prise en charge de la politique de sécurité
SEND permet la configuration de politiques de sécurité spécifiques pour contrôler le comportement des voisins et les actions à entreprendre dans différentes situations. Ces politiques peuvent aborder des aspects tels que l'acceptation ou le rejet de certains certificats, le traitement des messages de notification et les actions à entreprendre en cas d'événements de sécurité.
Considérations sur le déploiement
Le déploiement de SEND nécessite une planification appropriée, en particulier dans les réseaux vastes et complexes. Les administrateurs réseau doivent prendre en compte les performances du réseau, la gestion des certificats, la configuration des politiques de sécurité et la compatibilité avec les appareils et systèmes existants.
Protection contre les attaques par empoisonnement du cache
L'empoisonnement du cache est un type d'attaque dans lequel un attaquant tente de corrompre ou de modifier les informations stockées dans le cache voisin d'un nœud. SEND aide à se protéger contre ces attaques en authentifiant et en vérifiant l'identité des voisins avant de mettre à jour le cache voisin avec de nouvelles informations.
Considérations relatives aux performances
La mise en œuvre de SEND peut avoir un impact sur les performances du réseau en raison de la nécessité de traiter et de vérifier les certificats, ainsi que de signer et de vérifier les messages. Les administrateurs réseau doivent évaluer le compromis entre sécurité et performances pour déterminer si la mise en œuvre de SEND est appropriée pour leur environnement.
Intégration avec d'autres technologies de sécurité
SEND peut être utilisé conjointement avec d'autres technologies de sécurité dans IPv6, telles qu'IPSec. La combinaison de SEND et IPSec offre une couche de protection supplémentaire pour la communication dans les réseaux IPv6, garantissant à la fois l'authentification des voisins et la confidentialité et l'intégrité des données transmises.
Avantages pour la mobilité IPv6
SEND offre également des avantages en matière de mobilité sur les réseaux IPv6. En utilisant l'authentification et la vérification des certificats dans le processus de découverte des voisins, SEND permet de garantir que les nœuds mobiles se connectent aux bons voisins et empêche les attaquants d'intercepter le trafic ou de rediriger les communications.
SEND est particulièrement utile dans les environnements où l'authentification des voisins et la protection contre les attaques d'usurpation d'identité sont importantes, tels que les réseaux d'entreprise et les fournisseurs de services. Cependant, la mise en œuvre de SEND peut nécessiter une infrastructure à clé publique (PKI) et une coopération entre les administrateurs réseau pour établir des politiques de sécurité appropriées.
Il est important de noter que SEND ne résout pas tous les problèmes de sécurité dans IPv6, mais il fournit une couche de protection supplémentaire pour le processus de découverte des voisins. De plus, sa mise en œuvre est facultative et dépend des besoins et exigences de sécurité spécifiques de chaque réseau.
Étapes et considérations
La mise en œuvre du protocole Safe Neighbour Discovery (SEND) implique un certain nombre d’étapes et de considérations. Vous trouverez ci-dessous les étapes générales pour implémenter SEND sur un réseau IPv6 :
- Évaluation des exigences de sécurité
- Mise en place d'une infrastructure à clé publique (PKI)
- Génération et distribution de certificats
- Configuration de la politique de sécurité
- Implémentation sur les appareils réseau
- Tests et vérification
Surveillance et maintenance
RA-Garde
RA-Guard (Garde de publicité de routeur) est une fonctionnalité de sécurité d'IPv6 qui aide à protéger contre les attaques de routeurs usurpés et garantit que seules les publicités légitimes des routeurs sont traitées et acceptées par les nœuds du réseau.
RA-Guard est déployé sur les périphériques réseau et examine les messages d'annonce de routeur (RA) pour détecter et bloquer les publicités de routeur non autorisées ou malveillantes.
Lorsque RA-Guard est activé sur un périphérique réseau, il analyse les messages RA reçus et compare les informations qu'ils contiennent avec une liste de routeurs autorisés. Si le message RA ne correspond pas aux routeurs autorisés ou affiche des caractéristiques suspectes, l'appareil peut bloquer le message RA, l'ignorer ou prendre d'autres actions de sécurité définies dans les paramètres.
Techniques pour identifier et bloquer
RA-Guard utilise plusieurs techniques pour identifier et bloquer les publicités de routeur usurpées, notamment :
Filtrage des sources
RA-Guard vérifie l'adresse source du message RA et compare cette adresse avec la liste des routeurs autorisés. Si l'adresse source ne correspond pas, le message RA peut être considéré comme non autorisé et bloqué.
Inspection des options RA
RA-Guard examine les options incluses dans le message RA pour détecter les options suspectes ou incompatibles avec la configuration attendue. Par exemple, si des options inattendues ou des configurations incorrectes sont trouvées, le message RA peut être considéré comme non autorisé.
Fréquence et modèles des messages RA
RA-Guard peut également analyser la fréquence et les modèles des messages RA reçus. Si un grand nombre de messages RA est détecté sur une courte période ou s'il existe des modèles inhabituels de messages RA, l'appareil peut prendre des mesures pour bloquer ou limiter les messages suspects.
La mise en œuvre de RA-Guard peut varier en fonction de l'appareil spécifique et du fabricant. Certains périphériques réseau intègrent RA-Guard en tant que fonctionnalité native, tandis que d'autres périphériques peuvent nécessiter que vous activiez et configuriez RA-Guard explicitement.
RA-Guard est une mesure de sécurité efficace pour atténuer les risques associés aux publicités de routeur usurpées et protéger le réseau IPv6 contre les attaques non autorisées de routeur. En activant RA-Guard, les nœuds du réseau peuvent faire confiance aux messages RA légitimes et garantir que les routeurs réseau sont fiables et authentifiés.
DHCPv6 sécurisé
DHCPv6 Secure est une fonctionnalité de sécurité IPv6 qui permet l'authentification et l'autorisation des clients DHCPv6. Vous permet de vérifier l'identité des clients DHCPv6 et de garantir que seuls les clients autorisés peuvent obtenir des adresses IPv6 et des configurations réseau.
Voici un aperçu détaillé de son fonctionnement. DHCPv6 sécurisé:
Authentification client DHCPv6
DHCPv6 Secure utilise des techniques d'authentification pour vérifier l'identité des clients DHCPv6. Il repose sur l'utilisation de certificats X.509 et de signatures numériques pour authentifier les clients. Chaque client DHCPv6 possède un certificat numérique unique signé par une autorité de certification (CA) de confiance.
Autorisation client DHCPv6
En plus de l'authentification, DHCPv6 Secure permet également l'autorisation du client. Cela signifie que non seulement l'identité du client est vérifiée, mais qu'elle est également vérifiée pour voir si le client dispose des autorisations nécessaires pour obtenir une adresse IPv6 et les configurations réseau associées.
Interaction avec l'infrastructure à clé publique (PKI)
DHCPv6 Secure s'intègre à une infrastructure à clé publique (PKI) pour gérer les certificats et les clés publiques et privées requises pour l'authentification et la signature numérique. Cela implique la configuration d'une autorité de certification interne ou l'utilisation d'une autorité de certification externe de confiance pour émettre et gérer les certificats clients DHCPv6.
Processus d'obtention d'adresses IPv6
Lorsqu'un client DHCPv6 commence le processus d'obtention d'une adresse IPv6 et de paramètres réseau, il envoie une requête DHCPv6 au serveur DHCPv6. Cette demande contient les informations nécessaires à l'authentification, telles que le certificat et la signature numérique du client.
Vérification du certificat et signature numérique
Le serveur DHCPv6 vérifie le certificat du client et sa signature numérique à l'aide de l'infrastructure à clé publique (PKI) configurée. Vérifie l'authenticité du certificat, en s'assurant qu'il provient de l'autorité de certification de confiance et qu'il n'a pas été révoqué. Il vérifie également la validité de la signature numérique pour s'assurer qu'elle n'a pas été modifiée pendant le transport.
Contrôle d'autorisation
Une fois le client DHCPv6 authentifié avec succès, le serveur DHCPv6 effectue une vérification d'autorisation pour vérifier si le client dispose des autorisations nécessaires pour obtenir une adresse IPv6 et les paramètres réseau associés. Ceci est basé sur les politiques d'autorisation définies sur le serveur DHCPv6.
Attribution d'adresses IPv6 et configurations réseau
Si le client DHCPv6 a été authentifié et autorisé avec succès, le serveur DHCPv6 attribue une adresse IPv6 et fournit les configurations réseau correspondantes au client. Ces paramètres peuvent inclure des informations telles que le masque de sous-réseau, la passerelle par défaut, les serveurs DNS et d'autres paramètres réseau.
Renouvellement et vérification périodique
DHCPv6 Secure comprend également des mécanismes pour renouveler et vérifier périodiquement les adresses IPv6 et les configurations réseau attribuées aux clients. Cela garantit que seuls les clients autorisés peuvent conserver et utiliser les adresses et paramètres attribués au fil du temps.
Le déploiement de DHCPv6 Secure nécessite une configuration appropriée de l'infrastructure à clé publique (PKI), la génération et la gestion des certificats, ainsi que la configuration des politiques d'authentification et d'autorisation sur le serveur DHCPv6. Chaque client DHCPv6 doit disposer d'un certificat valide et signer numériquement ses requêtes DHCPv6 pour être correctement authentifié par le serveur DHCPv6.
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Livre recommandé pour cet article
Peut-être êtes-vous intéressé...
Peut-être êtes-vous intéressé...
Microlabs
(ML-001) Comment gérer correctement plusieurs IP publiques ou privées sur le routeur périphérique
$8,99
(ML-002) Façons d'attribuer des adresses IP publiques aux clients avec MikroTik
$9,99
(ML-003) Guide pour configurer les routes de sortie Internet avec deux fournisseurs ou plus (failover et récursivité dans l'équilibrage PCC)
$8,99
(ML-004) Filtrer les stratégies d'implémentation pour restreindre l'accès aux pages Web avec MikroTik
$7,99
Autres sujets qui pourraient vous intéresser
Façons d'attribuer l'adressage IPv6 (partie 2)
Mars 25, 2024
Façons d'attribuer l'adressage IPv6 (partie 1)
Mars 11, 2024
Vous souhaitez proposer un sujet ?
Chaque semaine, nous publions du nouveau contenu. Voulez-vous que nous parlions de quelque chose de précis ?
Cours en ligne à venir
MTCINE en ligne
$187,00
MTCNA en ligne
$187,00
MTCRE en ligne
$187,00
Pack 4 livres MikroTik RouterOS
$68,47
