Índice:
- Definição - O que significa o Protocolo de descoberta segura de vizinhos (SEND Protocol)?
- Techopedia explica o protocolo de descoberta de vizinhos seguros (protocolo SEND)
Definição - O que significa o Protocolo de descoberta segura de vizinhos (SEND Protocol)?
O protocolo SEND (Secure Neighbor Discovery Protocol) é uma extensão de segurança do NDP (Neighbour Discovery Discovery Protocol) usada no IPv6 para a descoberta de nós vizinhos no link local. O NDP determina os endereços da camada de link de outros nós, localiza roteadores disponíveis, mantém informações de acessibilidade, executa a resolução de endereços e detecta a duplicação de endereços. SEND aprimora esse protocolo não seguro, empregando endereços criptograficamente gerados (CGA) para criptografar mensagens NDP. Esse método é independente do IPSec, que normalmente é usado para proteger transmissões IPv6. A introdução do CGA ajuda a anular vizinho / solicitação / falsificação, falha na detecção de inacessibilidade de vizinhos, ataques do DOS, solicitação de roteador e ataques de repetição.
Techopedia explica o protocolo de descoberta de vizinhos seguros (protocolo SEND)
Se não estiver protegido, o NDP estará vulnerável a vários ataques. As especificações originais do NDP exigiam o uso de IPsec para proteger as mensagens NDP. No entanto, o número de aplicativos de segurança configurados manualmente necessários para proteger o NDP pode ser muito grande, tornando essa abordagem impraticável para a maioria dos propósitos.
O protocolo SEND foi desenvolvido para combater as ameaças ao NDP. SEND é aplicável em ambientes onde a segurança física no link não é garantida (como por meio de conexão sem fio) e ataques ao NDP são uma preocupação. SEND usa CGAs, um método criptográfico para vincular uma chave de assinatura pública a um IPv6. Os CGAs são usados para garantir que o remetente de uma mensagem de descoberta vizinha seja o "proprietário" do endereço reivindicado. Um par de chaves público-privado é gerado por todos os nós antes que eles possam reivindicar um endereço. Uma nova opção NDP, a opção CGA, é usada para transportar a chave pública e os parâmetros associados. O CGA é formado substituindo os 64 bits menos significativos do endereço IPv6 de 128 bits pelo hash criptográfico da chave pública do proprietário do endereço. As mensagens são assinadas com a chave privada correspondente. Somente se o endereço de origem e a chave pública forem conhecidos, o verificador poderá autenticar a mensagem desse remetente correspondente.
O protocolo SEND não requer infraestrutura de chave pública. CGAs válidos podem ser gerados por qualquer remetente, incluindo um invasor em potencial, mas eles não podem usar nenhum CGAs existente. As assinaturas de chave pública protegem a integridade das mensagens e autenticam as identidades de quem as envia. A autoridade de uma chave pública é estabelecida por meio de vários processos, dependendo da configuração e do tipo de mensagem que está sendo protegida.