Difference between revisions of "Activités de recherche sur la configuration automatique"
From Livre IPv6
(→SEND) |
|||
Line 2: | Line 2: | ||
=SEND= | =SEND= | ||
+ | |||
+ | Le protocole IPsec ne peut pas servir directement pour authentifier les communications avec un équipement qui est en train d'acquérir son adresse car il a besoin dans un premier temps de pouvoir récupérer les clés qui vont servir à l'échange. A moins de les préconfigurer, il faut un adresse IP pour cette acquisition. Le protocole SEND résout cet oxymore en se basant sur des certificats. | ||
+ | |||
+ | ==Rappel sur les certificats== | ||
+ | |||
+ | En cryptographie, on différencie les clés symétriques qui sont connues des deux extrémités et qui servent aussi bien à chiffrer qu'à déchiffrer l'information, et les clés asymétriques, l'une des clés sert à coder l'information et l'autre à la décoder. Un équipement peut décider de garder la première secrète et de divulger la seconde. Ainsi tous les équipements la connaissant seront capable de déchiffrer le message, mais seul l'émetteur à la possibilité d'envoyer de tel message, car il est pratiquement impossible de découvrir la clé privée à partir de la clé publique. | ||
+ | |||
+ | Les certificats sont basés sur cette propriété. Un certificat peut être vu comme le chiffrement de la clé publique par la clé privée. De cette manière, un récepteur peut vérifier la véracité de la clé qu'il reçoit. | ||
=SAVI= | =SAVI= |
Revision as of 04:45, 20 March 2010
La configuration automatique presente un certain nombre d'avantage, mais peut également conduire à une paralysie du réseau, si un équipement non autorisé répond aux Sollicitations de Routeurs (RS) émis par les équipements d'un lien. Ils vont soit créer une adresse qui n'est pas routage et si ils l'utilisent ne recevront jamais de réponse, soit prendre ce faux routeur comme routeur par défaut. Cette configuration résulte le plus souvent d'une erreur de configuration que d'une attaque. Elle n'est pas complètement nouvelle; en IPv4 le fait d'installer un faux serveur DHCP retournant des valeurs inexacte peut conduire au même résultat. Néanmoins, plusieurs techniques sont en cours de standardisation à l'IETF pour augmenter la sécurité sur le réseau. Le groupe SEND (SEcure Neighbor Discovery) a développer une solution cryptographique à base de certificats pour authentifier les deux équipements (celui qui fait la demande et le routeur qui y répond). Le groupe SAVI (Source Address Validation Improvement) travaille au niveau des équipements d'interconnexion (commutateurs) pour autoriser ou non certaines adresses.
SEND
Le protocole IPsec ne peut pas servir directement pour authentifier les communications avec un équipement qui est en train d'acquérir son adresse car il a besoin dans un premier temps de pouvoir récupérer les clés qui vont servir à l'échange. A moins de les préconfigurer, il faut un adresse IP pour cette acquisition. Le protocole SEND résout cet oxymore en se basant sur des certificats.
Rappel sur les certificats
En cryptographie, on différencie les clés symétriques qui sont connues des deux extrémités et qui servent aussi bien à chiffrer qu'à déchiffrer l'information, et les clés asymétriques, l'une des clés sert à coder l'information et l'autre à la décoder. Un équipement peut décider de garder la première secrète et de divulger la seconde. Ainsi tous les équipements la connaissant seront capable de déchiffrer le message, mais seul l'émetteur à la possibilité d'envoyer de tel message, car il est pratiquement impossible de découvrir la clé privée à partir de la clé publique.
Les certificats sont basés sur cette propriété. Un certificat peut être vu comme le chiffrement de la clé publique par la clé privée. De cette manière, un récepteur peut vérifier la véracité de la clé qu'il reçoit.