Sommario:
- Definizione - Cosa significa Secure Neighbor Discovery Protocol (SEND Protocol)?
- Techopedia spiega il protocollo Secure Neighbor Discovery (protocollo SEND)
Definizione - Cosa significa Secure Neighbor Discovery Protocol (SEND Protocol)?
Il protocollo Secure Neighbor Discovery (SEND Protocol) è un'estensione di sicurezza del Neighbor Discovery Protocol (NDP) utilizzato in IPv6 per il rilevamento di nodi vicini sul collegamento locale. NDP determina gli indirizzi del livello di collegamento di altri nodi, trova i router disponibili, mantiene le informazioni di raggiungibilità, esegue la risoluzione dell'indirizzo e rileva la duplicazione dell'indirizzo. SEND migliora questo protocollo non sicuro impiegando indirizzi generati crittograficamente (CGA) per crittografare i messaggi NDP. Questo metodo è indipendente da IPSec, generalmente utilizzato per proteggere le trasmissioni IPv6. L'introduzione di CGA aiuta a annullare vicini / sollecitazioni / spoofing, errori di rilevamento dell'irraggiungibilità dei vicini, attacchi DOS, sollecitazione router e attacchi replay.
Techopedia spiega il protocollo Secure Neighbor Discovery (protocollo SEND)
Se non protetto, NDP è vulnerabile a vari attacchi. Le specifiche NDP originali richiedevano l'uso di IPsec per proteggere i messaggi NDP. Tuttavia, il numero di applicazioni di sicurezza configurate manualmente necessarie per proteggere NDP può essere molto elevato, rendendo questo approccio poco pratico per la maggior parte degli scopi.
Il protocollo SEND è progettato per contrastare le minacce a NDP. SEND è applicabile in ambienti in cui la sicurezza fisica sul collegamento non è garantita (come via wireless) e gli attacchi a NDP sono fonte di preoccupazione. SEND utilizza CGA, un metodo crittografico per associare una chiave di firma pubblica a un IPv6. I CGA vengono utilizzati per assicurarsi che il mittente di un messaggio di individuazione adiacente sia il "proprietario" dell'indirizzo richiesto. Una coppia di chiavi pubblica-privata viene generata da tutti i nodi prima che possano rivendicare un indirizzo. Una nuova opzione NDP, l'opzione CGA, viene utilizzata per trasportare la chiave pubblica e i parametri associati. La CGA si forma sostituendo i 64 bit meno significativi dell'indirizzo IPv6 a 128 bit con l'hash crittografico della chiave pubblica del proprietario dell'indirizzo. I messaggi sono firmati con la chiave privata corrispondente. Solo se sono noti l'indirizzo di origine e la chiave pubblica, il verificatore può autenticare il messaggio dal mittente corrispondente.
Il protocollo SEND non richiede infrastrutture a chiave pubblica. I CGA validi possono essere generati da qualsiasi mittente, incluso un potenziale attaccante, ma non possono utilizzare alcun CGA esistente. Le firme delle chiavi pubbliche proteggono l'integrità dei messaggi e autenticano le identità di coloro che li inviano. L'autorità di una chiave pubblica viene stabilita tramite una serie di processi a seconda della configurazione e del tipo di messaggio che è protetto.
