Maintien du statut de quartier

La maintenance de l'état de voisinage dans IPv6 fait référence au processus par lequel les nœuds d'un réseau IPv6 continuent de surveiller et de mettre à jour les informations sur les voisins du réseau.

Ce processus garantit que la table des voisins de chaque nœud est à jour et reflète avec précision les adresses IPv6 et MAC des voisins connus.

Vous trouverez ci-dessous une explication détaillée du fonctionnement de la maintenance de l'état du quartier dans IPv6 :

Surveillance de la connectivité

• Chaque nœud vérifie périodiquement la connectivité avec ses voisins pour s'assurer qu'ils sont toujours actifs et accessibles.
• Ceci est accompli en envoyant des messages de sollicitation de voisin aux adresses IPv6 des voisins et en attendant les réponses d'annonce de voisin.

Mise à jour de la table voisine

• Lorsqu'un nœud reçoit un message d'annonce de voisin, il met à jour sa table de voisins avec l'adresse IPv6 et l'adresse MAC du voisin correspondant.
• Si un changement dans les informations des voisins est détecté, tel qu'un changement d'adresse MAC ou une nouvelle adresse IPv6, la table des voisins est mise à jour avec les dernières informations.

Détection des voisins inaccessibles

• Si un nœud cesse de recevoir des réponses aux demandes de voisins envoyées à une adresse IPv6 spécifique, il marque le voisin correspondant comme inaccessible dans sa table des voisins.
• Cette détection des voisins inaccessibles permet aux nœuds de mettre rapidement à jour leurs informations de voisinage et de s'adapter aux changements du réseau.

Délai aléatoire dans les messages de sollicitation de voisin

• Pour éviter de congestionner le réseau avec des messages simultanés de sollicitation de voisin, les nœuds introduisent un délai aléatoire avant d'envoyer des requêtes.
• Ce délai aléatoire permet de répartir les requêtes dans le temps et réduit la probabilité de collisions et de congestion du réseau.

Expiration des entrées voisines

• Chaque entrée dans la table voisine d'un nœud a une durée de vie associée.
• Si un nœud ne reçoit pas de mises à jour des voisins pendant une période de temps donnée, l'entrée est considérée comme expirée et est supprimée de la table des voisins.
• Cela garantit que la table des voisins est tenue à jour et contient uniquement des informations sur les voisins actifs et accessibles.

Découverte d'itinéraire par défaut

La découverte de route par défaut dans IPv6 est un processus par lequel les nœuds déterminent la route à emprunter pour envoyer des paquets en dehors du réseau local. Cela implique d'identifier et de configurer l'itinéraire par défaut à utiliser lorsqu'un itinéraire spécifique n'est pas spécifié pour une destination particulière.

L'opération de découverte d'itinéraire par défaut est la suivante :

Publicités sur les routeurs

• Les routeurs du réseau envoient périodiquement des messages « Annonces de routeur » via l'adresse de multidiffusion « Tous les routeurs ».
• Ces messages contiennent des informations pertinentes pour la configuration des nœuds, y compris l'indication de la route par défaut.

Indication d'itinéraire par défaut

• Les messages d'annonce de routeur peuvent contenir une option appelée « Route par défaut », qui spécifie l'adresse du prochain saut ou le lien sortant pour les paquets qui n'ont pas de route spécifique.

Traitement des messages d'annonce du routeur

• Lorsqu'un nœud reçoit un message d'annonce de routeur, il vérifie si une option de route par défaut existe.
• Si une option Route par défaut est trouvée, le nœud configure sa table de routage pour inclure la route par défaut spécifiée dans le message.

Sélection de l'itinéraire par défaut

• S'il existe plusieurs options de route par défaut dans les messages d'annonce de routeur, le nœud doit en sélectionner une.
• Le processus de sélection peut reposer sur différents critères, comme la priorité du routeur publicitaire ou la qualité de la connexion.

Mise à jour de la table de routage

• Une fois une route par défaut sélectionnée, le nœud met à jour sa table de routage avec les informations correspondantes.
• Ce tableau comprendra l'adresse de destination de la route par défaut et l'adresse du prochain saut ou de la liaison sortante associée.

Routage des paquets

• Lorsqu'un nœud a besoin d'envoyer un paquet en dehors du réseau local et ne dispose pas de route spécifique, il utilise la route par défaut configurée dans sa table de routage.
• Le paquet est envoyé au saut suivant ou envoyé directement au lien de sortie comme spécifié dans la route par défaut.

La découverte de route par défaut dans IPv6 permet aux nœuds de déterminer automatiquement la route à emprunter pour envoyer des paquets en dehors du réseau local. Lors de la réception et du traitement des messages d'annonce de routeur, les nœuds configurent leur table de routage avec la route par défaut appropriée, garantissant ainsi un routage efficace et correct des paquets dans le réseau IPv6.

Protection contre les attaques d'usurpation d'identité

La protection contre les attaques d'usurpation d'identité dans IPv6 est un aspect important pour garantir la sécurité des communications et empêcher un nœud malveillant d'usurper l'identité d'un autre nœud sur le réseau.

Voici quelques mesures de protection courantes contre les attaques d’usurpation d’identité dans IPv6 :

Filtrage d'adresse MAC

• Le filtrage des adresses MAC implique la configuration des périphériques réseau pour autoriser uniquement la communication avec des adresses MAC spécifiques.
• Cela empêche les nœuds non autorisés de se connecter ou de communiquer sur le réseau.

Configuration appropriée du protocole de découverte de voisin (NDP)

• Le Neighbour Discovery Protocol (NDP) dans IPv6 fournit des mécanismes pour découvrir et maintenir les voisins sur le réseau.
• Il est important de configurer correctement NDP pour empêcher les attaques d'usurpation d'identité, telles que limiter l'acceptation des messages d'annonce de voisin aux seuls routeurs autorisés.

Authentification des messages NDP

• Pour protéger davantage NDP contre les attaques d'usurpation d'identité, l'authentification des messages NDP peut être mise en œuvre.
• Cela implique l'utilisation de techniques cryptographiques, telles que les signatures numériques, pour garantir que les messages NDP proviennent de sources fiables et n'ont pas été modifiés pendant la transmission.

Déploiement de la découverte sécurisée des voisins (SEND)

• Le protocole Secure Neighbor Discovery (SEND) est une extension de sécurité du NDP en IPv6.
• SEND fournit des mécanismes d'authentification et de protection pour les messages NDP, contribuant ainsi à prévenir les attaques d'usurpation d'identité et à garantir l'intégrité et l'authenticité des communications.

Utiliser IPv6 sur VPN

• L'utilisation d'IPv6 sur VPN peut fournir une couche de sécurité supplémentaire en acheminant le trafic IPv6 via une connexion sécurisée.
• Cela permet de protéger les communications IPv6 contre les attaques potentielles d'usurpation d'identité en chiffrant le trafic et en authentifiant les connexions VPN.

Mise en œuvre de politiques de sécurité sur les appareils réseau

• La configuration et l'application de politiques de sécurité sur les périphériques réseau, tels que les pare-feu et les systèmes de prévention des intrusions, permettent de détecter et de bloquer les activités malveillantes sur le réseau IPv6.
• Ces politiques peuvent inclure l'inspection des paquets, la détection des anomalies et la prévention des attaques d'usurpation d'identité connues.