Зміст:
- Визначення - Що означає протокол безпечного виявлення сусіда (протокол SEND)?
- "Техопедія" пояснює безпечний протокол виявлення сусіда (протокол SEND)
Визначення - Що означає протокол безпечного виявлення сусіда (протокол SEND)?
Безпечний протокол виявлення сусідів (протокол SEND) - це розширення безпеки протоколу відкриття сусіда (NDP), який використовується в IPv6 для виявлення сусідніх вузлів за локальним посиланням. NDP визначає адреси шару зв'язку інших вузлів, знаходить доступні маршрутизатори, підтримує інформацію про доступність, виконує роздільну здатність адреси та виявляє дублювання адреси. SEND покращує цей незахищений протокол, використовуючи криптографічно генеровані адреси (CGA) для шифрування повідомлень NDP. Цей метод не залежить від IPSec, який зазвичай використовується для захисту передач IPv6. Введення CGA допомагає звести нанівець сусід / клопотання / підробку, невдачу виявлення недосяжності сусідів, DOS-атаки, прохання маршрутизатора та повторну атаку.
"Техопедія" пояснює безпечний протокол виявлення сусіда (протокол SEND)
Якщо його не забезпечити, НДП вразливий до різних атак. Оригінальні специфікації NDP вимагали використання IPsec для захисту повідомлень NDP. Однак кількість вручну налаштованих програм безпеки, необхідних для захисту NDP, може бути дуже великим, що робить такий підхід непрактичним для більшості цілей.
Протокол SEND призначений для протидії загрозам NDP. SEND застосовується в середовищах, коли фізична безпека посилання не гарантована (наприклад, через бездротовий зв'язок) і атаки на NDP викликають занепокоєння. SEND використовує CGA, криптографічний метод для прив’язки відкритого ключа підпису до IPv6. CGA використовуються для того, щоб переконатися, що відправник повідомлення про виявлення сусіда є "власником" заявленої адреси. Пара публічно-приватних ключів генерується усіма вузлами, перш ніж вони можуть заявити адресу. Нова опція NDP, опція CGA, використовується для перенесення відкритого ключа та пов'язаних з ними параметрів. CGA формується шляхом заміни найменш значущих 64 біт 128-бітної адреси IPv6 на криптографічний хеш відкритого ключа власника адреси. Повідомлення підписуються відповідним приватним ключем. Тільки якщо адреса джерела та відкритий ключ відомі, верифікатор може ідентифікувати повідомлення від відповідного відправника.
Протокол SEND не потребує інфраструктури відкритого ключа. Дійсні CGA можуть бути згенеровані будь-яким відправником, включаючи потенційного зловмисника, але він не може використовувати жодні існуючі CGA. Підписи відкритого ключа захищають цілісність повідомлень та засвідчують особу тих, хто їх надсилає. Повноваження відкритого ключа встановлюється за допомогою ряду процесів залежно від конфігурації та типу повідомлення, яке захищається.