Definição – o que significa Secure Neighbor Discovery Protocol (SEND Protocol)?
Secure Vizinhos Discovery Protocol (SEND Protocol) é uma extensão de segurança do Neighbour Discovery Protocol (NDP) usado em IPv6 para a descoberta de nós vizinhos no link local. O NDP determina os endereços da camada de enlace de outros nós, encontra roteadores disponíveis, mantém as informações de acessibilidade, executa a resolução de endereços e detecta a duplicação de endereços. SEND aprimora este protocolo inseguro, empregando endereços gerados criptograficamente (CGA) para criptografar mensagens NDP. Este método é independente do IPSec, que normalmente é usado para proteger as transmissões IPv6. A introdução do CGA ajuda a anular o spoofing de vizinho / solicitação / anúncio, falha de detecção de inacessibilidade de vizinho, ataques DOS, solicitação de roteador e ataques de anúncio e reprodução.
Definirtec explica o protocolo de descoberta de vizinho seguro (protocolo SEND)
Se não estiver protegido, o NDP é vulnerável a vários ataques. As especificações originais do NDP exigiam o uso de IPsec para proteger as mensagens do NDP. No entanto, o número de aplicativos de segurança configurados manualmente necessários para proteger o NDP pode ser muito grande, tornando essa abordagem impraticável para a maioria dos propósitos.
O protocolo SEND é projetado para combater as ameaças ao NDP. SEND é aplicável em ambientes onde a segurança física no link não é garantida (como por meio de wireless) e os ataques ao NDP são uma preocupação. SEND usa CGAs, um método criptográfico para vincular uma chave de assinatura pública a um IPv6. Os CGAs são usados para garantir que o remetente de uma mensagem de descoberta de vizinho seja o “proprietário” do endereço reivindicado. Um par de chaves pública-privada é gerado por todos os nós antes que eles possam reivindicar um endereço. Uma nova opção NDP, a opção CGA, é usada para transportar a chave pública e os parâmetros associados. O CGA é formado pela substituição dos 64 bits menos significativos do endereço IPv128 de 6 bits pelo hash criptográfico da chave pública do proprietário do endereço. As mensagens são assinadas com a chave privada correspondente. Somente se o endereço de origem e a chave pública forem conhecidos, o verificador pode autenticar a mensagem daquele remetente correspondente.
O protocolo SEND não requer infraestrutura de chave pública. CGAs válidos podem ser gerados por qualquer remetente, incluindo um invasor em potencial, mas eles não podem usar nenhum CGA existente. As assinaturas de chave pública protegem a integridade das mensagens e autenticam as identidades de quem as envia. A autoridade de uma chave pública é estabelecida por meio de vários processos, dependendo da configuração e do tipo de mensagem que está sendo protegida.