Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Inspeção do IPv6 Neighbor Discovery

Visão geral do protocolo IPv6 Neighbor Discovery

Os nós IPv6 (hosts e roteadores) usam o Neighbor Discovery Protocol (NDP) para descobrir a presença e os endereços de camada de enlace de outros nós que residem no mesmo link. Os hosts usam o NDP para encontrar roteadores vizinhos que estão dispostos a encaminhar pacotes em seu nome, enquanto os roteadores o usam para anunciar sua presença. Nós também usam o NDP para manter informações de alcance sobre os caminhos para vizinhos ativos. Quando um roteador ou o caminho para um roteador falha, um host pode procurar caminhos alternativos.

O processo NDP é baseado na troca de solicitações de vizinhos e mensagens de anúncio. As mensagens do NDP não têm segurança, o que torna o NDP suscetível a ataques que envolvem a spoofing (ou forjação) de endereços da camada de enlaces. Um nó de ataque pode fazer com que pacotes para nós legítimos sejam enviados para algum outro endereço de camada de link, enviando uma mensagem de solicitação ao vizinho com um endereço MAC de origem falsificado, ou enviando um endereço de anúncio de vizinho com um endereço MAC alvo falsificado. O endereço MAC falsificado é então associado a um endereço IPv6 de rede legítimo pelos outros nós.

Inspeção do Vizinho Discovery (ND)

A inspeção de descoberta de vizinhos IPv6 mitiga as vulnerabilidades de segurança do NDP inspecionando mensagens de descoberta de vizinhos e verificando-as contra a mesa de espionagem DHCPv6. A tabela de espionagem DHCPv6, que é construída bisbilhotando trocas de mensagens DHCPv6, inclui o endereço IPv6, endereço MAC, VLAN e interface para cada host associado à VLAN. Quando uma mensagem de descoberta de vizinhos é recebida em uma interface não confiável, a inspeção de descoberta de vizinhos descarta o pacote a menos que os endereços IPv6 e MAC de origem, VLAN e interface possam ser combinados com uma entrada na mesa de espionagem DHCPv6. As entradas podem ser adicionadas à tabela de espionagem DHCPv6 configurando a declaração de static-ipv6 CLI.

Nota:

Mensagens de descoberta de vizinhos são sempre permitidas em interfaces confiáveis.

A inspeção de descoberta de vizinhos verifica cinco tipos diferentes de mensagens ICMPv6: Solicitação de roteador, anúncio de roteador, solicitação de vizinhos, anúncio de vizinhos e redirecionamento. Ao descartar pacotes de mensagens que não podem ser verificados na tabela de espionagem DHCPv6, a inspeção de descoberta de vizinhos pode evitar os seguintes tipos de ataques:

  • Ataques de envenenamento por cache — o envenenamento por cache de descoberta de vizinhos é o equivalente ao IPv6 de spoofing de ARP, no qual um invasor usa um endereço forjado para enviar um anúncio não solicitado a outros hosts na rede, por associar seu próprio endereço MAC a um endereço IP de rede legítimo. Essas ligações entre endereços IPv6 e endereços MAC são armazenadas por cada nó em seu cache vizinho. Uma vez que os caches são atualizados com as ligações maliciosas, o invasor pode iniciar um ataque homem-no-meio, interceptando o tráfego que era destinado a um host legítimo.

  • Roteamento de ataques de negação de serviço (DoS) — um invasor pode fazer com que um host desabile seu roteador de primeiro salto falsificando o endereço de um roteador e enviando uma mensagem de anúncio ao vizinho com a bandeira do roteador liberada. O host da vítima assume que o dispositivo que costumava ser seu roteador de primeiro salto não é mais um roteador.

  • Redirecione ataques — os roteadores usam solicitações de redirecionamento ICMPv6 para informar uma série de uma rota mais eficiente para um destino. Os hosts podem ser redirecionados para um melhor roteador de primeiro salto, mas também podem ser informados por uma mensagem de redirecionamento do roteador de que o destino é de fato um vizinho. Um invasor que usa essa disposição pode obter um efeito semelhante ao envenenamento por cache e interceptar todo o tráfego do host da vítima. A inspeção de descoberta de vizinhos verifica se as mensagens de redirecionamento do roteador são enviadas apenas por roteadores confiáveis.

Habilitando a inspeção de ND

Nota:

A espionagem DHCPv6 é habilitada automaticamente quando a inspeção de descoberta de vizinhos é configurada. Não é necessária uma configuração explícita para a espionagem DHCPv6.

Para permitir a inspeção de descoberta de vizinhos em uma VLAN:

Documentação relacionada