Amélioration des adresses CGA et du protocole SEND pour un meilleur support de la mobilité et de nouveaux services de sécurité / Improving CGA addresses and the SEND protocol for a better mobility support and new security services

Cheneau, Tony

07 January 2011

A l'origine conçus pour protéger le protocole de Découverte de Voisins (Neighbor Discovery Protocol, NDP) en IPv6, les adresses générées de manière cryptographique (Cryptographically Generated Addresses, CGA) et le protocole SEND (Secure Neighbor Discovery) doivent maintenant s'adapter au contexte de mobilité et à ses nouvelles fonctionnalités. Cette mobilité revêt de nombreuses formes : mobilité du noeud (Mobile IPv6, MIPv6), mobilité des routeurs (Network Mobility, NEMO) ou encore mobilité gérée par le réseau (Proxy Mobile IPv6). De nombreux changements doivent être opérés dans le protocole SEND : les opérations cryptographiques doivent être allégées pour les terminaux à faible capacité de calcul, les incompatibilités entre le partage d'adresse dans les protocoles de mobilité et le mécanisme de protection d'adresses de SEND doivent être corrigés, etc. Dans une première partie de cette thèse, nous présentons le protocole de Découverte de Voisins, les adresses CGA et le protocole de sécurité SEND. Nous étudions leurs limitations et, afin d'améliorer les performances, nous proposons l'utilisation de la cryptographie basée sur les courbes elliptiques (ECC). À travers une série de tests, nous mesurons l'impact de notre proposition. Par la suite, nous modifions les spécifications du protocole SEND afin de supporter de nouveaux algorithmes crytpographiques. Dans une deuxième partie, nous résolvons les incompatibilités entre le protocole SEND et les protocoles de mobilité (par ex. MIPv6) et entre le protocole SEND et les adresses anycast. Dans une dernière partie, nous présentons plusieurs contributions basées sur une utilisation dérivée des adresses CGA et du protocole SEND. / Originally designed to protect the Neighbor Discovery Protocol (NDP) (part of the IPv6 protocol suite), the Cryptographically Generated Addresses (CGA) and the Secure Neighbor Discovery (SEND) now need to be adapted to the context of Mobility and extended to new functionalities. The term "Mobility" encompasses many aspects, among them : node mobility (Mobile IPv6, MIPv6), router mobility (Network Mobility, NEMO) and network-based mobility management (Proxy Mobile IPv6, PMIPv6). Numerous changes need to be operated on the SEND protocol in order to comply with the Mobility : the cryptographic operations need to be adapted to operate on low power mobile nodes, the incompatibilities between the address sharing model of the mobile protocol and the address protections offered by SEND need to be fixed, etc. Firstly, we present the Neighbor Discovery protocol, the CGA addresses and the SEND protocol. We study their limitations, and, in order to improve their performances, we propose to replace the signature algorithm used in SEND (RSA) by the elliptic curves cryptography (ECC). We then evaluate the performances of our proposal. Subsequently, we modify the SEND protocol to include a signature algorithm selection mechanism. Secondly, we solve incompatilities between the SEND protocol and the mobility protocols (e.g. MIPv6) and between the SEND protocol and the anycast addresses. Finally, we present our contributions containing a derivate use of the CGA addresses and the SEND protocol.

IPv6

Mobilité

MIPv6

Etude de performance

Neighbor discovery protocol

Cryptographically generated addresses

Proxy neighbor discovery

Analýza a demonstrace vybraných IPv6 útoků / An Analysis of Selected IPv6 Network Attacks

Pivarník, Jozef

January 2013

This master's thesis analyses and demonstrates selected IPv6 attacks including two Man-in-the-Middle attacks and one Denial of Service attack - Rogue Router Advertisement, Neighbor Cache Poisoning and Duplicate Address Detection DoS, respectively. In the first part the author presents necessary information related to the issue and provides detailed information on how to realize these attacks in practice using publicly available tools. The second part of the thesis presents various ways of mitigating presented attacks, analyses implementations of some of those countermeasures on Cisco and H3C devices and discussess their applicability.