Source Address Validation Improvements (SAVI)Jean-Michel Combes,Maryline Laurent

Il y a une dizaine d’années, suite à une forte augmentation d’attaques utilisant des adresses IP falsifiées, l’IETF standardisait la technique de "Network Ingress Filtering" ainsi que sa variante dynamique, connue sous le terme "uRPF", afin de limiter ces attaques. Malheureusement, suite aux déploiements de cette technique, celle-ci a montré ses limites. Aussi, l’IETF a décidé de standardiser, au sein du groupe de travail "Source Address Validation Improvements" (SAVI), des mécanismes complémentaires affinant la précision de détection d’adresses IP falsifiées au sein de flux IP. Ces mécanismes reposent sur l’observation de la signalisation d’attribution d’adresse IP (e.g., DHCP, autoconfiguration IPv6). Dans cet article, nous rappelons tout d’abord les attaques utilisant des adresses IP falsifiées. Ensuite, nous présentons la technique de "Network Ingress Filtering", et sa variante uRPF, ainsi que les limites de ce mécanisme de protection. Nous décrivons ensuite les différents mécanisme SAVI standardisés. Après cela, nous décrivons une intégration de SAVI dans le cas concret du réseau d’accès IPv6 ADSL/Fibre et nous donnons les implémentations/déploiements existants à ce jour. Enfin, nous concluons avec les limites propres à SAVI et les potentiels futurs travaux.