Inhaltsverzeichnis:
- Definition - Was bedeutet das Secure Neighbor Discovery-Protokoll (SEND-Protokoll)?
- Techopedia erklärt das Secure Neighbor Discovery-Protokoll (SEND-Protokoll)
Definition - Was bedeutet das Secure Neighbor Discovery-Protokoll (SEND-Protokoll)?
Das Secure Neighbor Discovery-Protokoll (SEND-Protokoll) ist eine Sicherheitserweiterung des Neighbor Discovery-Protokolls (NDP), das in IPv6 zur Erkennung benachbarter Knoten auf der lokalen Verbindung verwendet wird. NDP ermittelt die Verbindungsschichtadressen anderer Knoten, sucht nach verfügbaren Routern, verwaltet die Erreichbarkeitsinformationen, führt die Adressauflösung durch und erkennt doppelte Adressen. SEND erweitert dieses unsichere Protokoll, indem kryptografisch generierte Adressen (CGA) zum Verschlüsseln von NDP-Nachrichten verwendet werden. Diese Methode ist unabhängig von IPSec, das normalerweise zum Sichern von IPv6-Übertragungen verwendet wird. Die Einführung von CGA hilft dabei, Angriffe auf Nachbarn / Werbung / Spoofing, Fehler bei der Erkennung der Nichterreichbarkeit von Nachbarn, DOS-Angriffe, Router-Werbung und Wiederholungsangriffe aufzuheben.
Techopedia erklärt das Secure Neighbor Discovery-Protokoll (SEND-Protokoll)
Wenn es nicht gesichert ist, ist NDP für verschiedene Angriffe anfällig. Die ursprünglichen NDP-Spezifikationen forderten die Verwendung von IPsec zum Schutz von NDP-Nachrichten. Die Anzahl der manuell konfigurierten Sicherheitsanwendungen, die zum Schutz von NDP erforderlich sind, kann jedoch sehr groß sein, sodass dieser Ansatz für die meisten Zwecke nicht praktikabel ist.
Das SEND-Protokoll soll den Bedrohungen für NDP entgegenwirken. SEND ist in Umgebungen anwendbar, in denen die physische Sicherheit der Verbindung nicht gewährleistet ist (z. B. über WLAN) und Angriffe auf NDP ein Problem darstellen. SEND verwendet CGAs, eine kryptografische Methode zum Binden eines öffentlichen Signaturschlüssels an ein IPv6. CGAs werden verwendet, um sicherzustellen, dass der Absender einer Nachbarerkennungsnachricht der "Eigentümer" der beanspruchten Adresse ist. Ein öffentlich-privates Schlüsselpaar wird von allen Knoten generiert, bevor sie eine Adresse anfordern können. Eine neue NDP-Option, die CGA-Option, wird zum Übertragen des öffentlichen Schlüssels und der zugehörigen Parameter verwendet. CGA wird gebildet, indem die niedrigstwertigen 64 Bit der 128-Bit-IPv6-Adresse durch den kryptografischen Hash des öffentlichen Schlüssels des Adressbesitzers ersetzt werden. Die Nachrichten werden mit dem entsprechenden privaten Schlüssel signiert. Nur wenn die Quelladresse und der öffentliche Schlüssel bekannt sind, kann der Prüfer die Nachricht von dem entsprechenden Absender authentifizieren.
Das SEND-Protokoll erfordert keine Public-Key-Infrastruktur. Gültige CGAs können von jedem Absender, einschließlich eines potenziellen Angreifers, generiert werden, sie können jedoch keine vorhandenen CGAs verwenden. Öffentliche Schlüsselsignaturen schützen die Integrität der Nachrichten und authentifizieren die Identitäten derjenigen, die sie senden. Die Berechtigung eines öffentlichen Schlüssels wird abhängig von der Konfiguration und der Art der zu schützenden Nachricht über eine Reihe von Prozessen festgelegt.
