Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 6 au 8 juin 2012.

Source Address Validation Improvements (SAVI)Jean-Michel Combes, Maryline Laurent


Date : 08 June 2012 à 09:30 — 30 min.

Il y a une dizaine d’années, suite à une forte augmentation d’attaques utilisant des adresses IP falsifiées, l’IETF standardisait la technique de "Network Ingress Filtering" ainsi que sa variante dynamique, connue sous le terme "uRPF", afin de limiter ces attaques. Malheureusement, suite aux déploiements de cette technique, celle-ci a montré ses limites. Aussi, l’IETF a décidé de standardiser, au sein du groupe de travail "Source Address Validation Improvements" (SAVI), des mécanismes complémentaires affinant la précision de détection d’adresses IP falsifiées au sein de flux IP. Ces mécanismes reposent sur l’observation de la signalisation d’attribution d’adresse IP (e.g., DHCP, autoconfiguration IPv6). Dans cet article, nous rappelons tout d’abord les attaques utilisant des adresses IP falsifiées. Ensuite, nous présentons la technique de "Network Ingress Filtering", et sa variante uRPF, ainsi que les limites de ce mécanisme de protection. Nous décrivons ensuite les différents mécanisme SAVI standardisés. Après cela, nous décrivons une intégration de SAVI dans le cas concret du réseau d’accès IPv6 ADSL/Fibre et nous donnons les implémentations/déploiements existants à ce jour. Enfin, nous concluons avec les limites propres à SAVI et les potentiels futurs travaux.