Оглавление:
- Определение - Что означает протокол обнаружения безопасных соседей (SEND Protocol)?
- Techopedia объясняет протокол обнаружения безопасных соседей (SEND Protocol)
Определение - Что означает протокол обнаружения безопасных соседей (SEND Protocol)?
Безопасный протокол обнаружения соседей (SEND Protocol) - это расширение безопасности протокола обнаружения соседей (NDP), которое используется в IPv6 для обнаружения соседних узлов в локальной линии. NDP определяет адреса канального уровня других узлов, находит доступные маршрутизаторы, поддерживает информацию о достижимости, выполняет разрешение адресов и обнаруживает дублирование адресов. SEND расширяет этот небезопасный протокол, используя криптографически сгенерированные адреса (CGA) для шифрования сообщений NDP. Этот метод не зависит от IPSec, который обычно используется для защиты передач IPv6. Внедрение CGA помогает обнулить соседа / запрос / спуфинг, ошибку обнаружения недостижимости соседа, атаки DOS, запрос маршрутизатора и атаки повторного воспроизведения.
Techopedia объясняет протокол обнаружения безопасных соседей (SEND Protocol)
Если NDP не защищен, он уязвим для различных атак. Первоначальные спецификации NDP предусматривали использование IPsec для защиты сообщений NDP. Однако число настраиваемых вручную приложений безопасности, необходимых для защиты NDP, может быть очень большим, что делает этот подход нецелесообразным для большинства целей.
Протокол SEND предназначен для противодействия угрозам NDP. SEND применяется в средах, где физическая безопасность на линии не гарантируется (например, по беспроводной сети), и атаки на NDP являются проблемой. SEND использует CGA, криптографический метод для привязки открытого ключа подписи к IPv6. CGA используются для того, чтобы убедиться, что отправитель сообщения обнаружения соседей является «владельцем» заявленного адреса. Пара открытый-закрытый ключ генерируется всеми узлами, прежде чем они смогут запросить адрес. Новая опция NDP, опция CGA, используется для переноса открытого ключа и связанных параметров. CGA формируется путем замены наименее значимых 64 бит 128-битного адреса IPv6 на криптографический хэш открытого ключа владельца адреса. Сообщения подписываются соответствующим закрытым ключом. Только если адрес источника и открытый ключ известны, верификатор может аутентифицировать сообщение от этого соответствующего отправителя.
Протокол SEND не требует инфраструктуры открытых ключей. Действительные CGA могут генерироваться любым отправителем, включая потенциального злоумышленника, но они не могут использовать какие-либо существующие CGA. Подписи с открытым ключом защищают целостность сообщений и проверяют подлинность тех, кто их отправляет. Полномочия открытого ключа устанавливаются с помощью ряда процессов в зависимости от конфигурации и типа защищаемого сообщения.
