Inhoudsopgave:
- Definitie - Wat betekent Secure Neighbor Discovery Protocol (SEND Protocol)?
- Techopedia verklaart Secure Neighbor Discovery Protocol (SEND Protocol)
Definitie - Wat betekent Secure Neighbor Discovery Protocol (SEND Protocol)?
Secure Neighbor Discovery Protocol (SEND Protocol) is een beveiligingsuitbreiding van Neighbour Discovery Protocol (NDP) dat wordt gebruikt in IPv6 voor de detectie van aangrenzende knooppunten op de lokale link. NDP bepaalt de koppelingslaagadressen van andere knooppunten, vindt beschikbare routers, onderhoudt bereikbaarheidinformatie, voert adresresolutie uit en detecteert adresduplicatie. SEND verbetert dit onveilige protocol door cryptografisch gegenereerde adressen (CGA) te gebruiken om NDP-berichten te coderen. Deze methode is onafhankelijk van IPSec, die meestal wordt gebruikt om IPv6-transmissies te beveiligen. De introductie van CGA helpt buur / verzoek / spoofing, detectie van burenonbereikbaarheid, DOS-aanvallen, routerverzoek en en replay-aanvallen teniet te doen.
Techopedia verklaart Secure Neighbor Discovery Protocol (SEND Protocol)
Als het niet beveiligd is, is NDP kwetsbaar voor verschillende aanvallen. De originele NDP-specificaties riepen het gebruik van IPsec op om NDP-berichten te beschermen. Het aantal handmatig geconfigureerde beveiligingstoepassingen dat nodig is om NDP te beschermen, kan echter zeer groot zijn, waardoor die aanpak voor de meeste doeleinden onpraktisch is.
Het SEND-protocol is ontworpen om de bedreigingen voor NDP tegen te gaan. SEND is van toepassing in omgevingen waar fysieke beveiliging op de link niet is gewaarborgd (zoals via draadloos) en aanvallen op NDP een punt van zorg zijn. SEND maakt gebruik van CGA's, een cryptografische methode voor het binden van een openbare handtekeningssleutel aan een IPv6. CGA's worden gebruikt om ervoor te zorgen dat de afzender van een buurherkenningsbericht de "eigenaar" van het geclaimde adres is. Een publiek-privaat sleutelpaar wordt gegenereerd door alle knooppunten voordat ze een adres kunnen claimen. Een nieuwe NDP-optie, de CGA-optie, wordt gebruikt om de openbare sleutel en bijbehorende parameters te dragen. CGA wordt gevormd door de minst significante 64 bits van het 128-bits IPv6-adres te vervangen door de cryptografische hash van de openbare sleutel van de eigenaar van het adres. De berichten worden ondertekend met de bijbehorende persoonlijke sleutel. Alleen als het bronadres en de openbare sleutel bekend zijn, kan de verificator het bericht van die overeenkomstige afzender authenticeren.
Het SEND-protocol vereist geen openbare-sleutelinfrastructuur. Geldige CGA's kunnen door elke afzender worden gegenereerd, inclusief een potentiële aanvaller, maar ze kunnen geen bestaande CGA's gebruiken. Handtekeningen met openbare sleutels beschermen de integriteit van de berichten en verifiëren de identiteit van degenen die ze verzenden. De autoriteit van een openbare sleutel wordt vastgesteld via een aantal processen, afhankelijk van de configuratie en het type bericht dat wordt beschermd.