Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Überprüfung der IPv6 Neighbor Discovery

Übersicht über das IPv6 Neighbor Discovery Protocol

IPv6-Knoten (Hosts und Router) verwenden das Neighbor Discovery Protocol (NDP), um das Vorhandensein und die Link-Layer-Adressen anderer Knoten zu ermitteln, die sich auf derselben Verbindung befinden. Hosts verwenden NDP, um benachbarte Router zu finden, die bereit sind, Pakete in ihrem Namen weiterzuleiten, während Router es verwenden, um ihre Anwesenheit anzukündigen. Knoten verwenden NDP auch, um Erreichbarkeitsinformationen über die Pfade zu aktiven Nachbarn zu verwalten. Wenn ein Router oder der Pfad zu einem Router ausfällt, kann ein Host nach alternativen Pfaden suchen.

Der NDP-Prozess basiert auf dem Austausch von Nachbarschaftswerbungs- und Werbenachrichten. NDP-Nachrichten sind ungesichert, was NDP anfällig für Angriffe macht, bei denen Link-Layer-Adressen gefälscht (oder gefälscht) werden. Ein angreifender Knoten kann bewirken, dass Pakete für legitime Knoten an eine andere Link-Layer-Adresse gesendet werden, indem entweder eine Neighbor Solicitation-Nachricht mit einer gefälschten Quell-MAC-Adresse oder eine Neighbor Advertisement-Adresse mit einer gefälschten Ziel-MAC-Adresse gesendet wird. Die gefälschte MAC-Adresse wird dann von den anderen Knoten mit einer legitimen IPv6-Netzwerkadresse verknüpft.

Neighbor Discovery (ND)-Inspektion

IPv6 Neighbor Discovery Inspection mindert NDP-Sicherheitslücken, indem Neighbor Discovery-Nachrichten überprüft und anhand der DHCPv6-Snooping-Tabelle überprüft werden. Die DHCPv6-Snooping-Tabelle, die durch Snooping von DHCPv6-Nachrichtenaustausch erstellt wird, enthält die IPv6-Adresse, die MAC-Adresse, das VLAN und die Schnittstelle für jeden Host, der dem VLAN zugeordnet ist. Wenn eine Neighbor Discovery-Nachricht auf einer nicht vertrauenswürdigen Schnittstelle empfangen wird, wird das Paket von der Neighbor Discovery inspection verworfen, es sei denn, die Quell-IPv6- und MAC-Adressen, das VLAN und die Schnittstelle können einem Eintrag in der DHCPv6-Snooping-Tabelle zugeordnet werden. Einträge können der DHCPv6-Snooping-Tabelle hinzugefügt werden, indem die static-ipv6 CLI-Anweisung konfiguriert wird.

Anmerkung:

Nachbarermittlungsmeldungen sind auf vertrauenswürdigen Schnittstellen immer zulässig.

Bei der Überprüfung der Nachbarerkennung werden fünf verschiedene ICMPv6-Nachrichtentypen überprüft: Routeranforderung, Routerankündigung, Nachbaranfrage, Nachbarankündigung und Umleitung. Durch das Verwerfen von Nachrichtenpaketen, die nicht anhand der DHCPv6-Snooping-Tabelle überprüft werden können, kann die Neighbor Discovery Inspection die folgenden Arten von Angriffen verhindern:

  • Cache-Poisoning-Angriffe: Neighbor Discovery Cache Poisoning ist das IPv6-Äquivalent zum ARP-Spoofing, bei dem ein Angreifer eine gefälschte Adresse verwendet, um eine unerwünschte Werbung an andere Hosts im Netzwerk zu senden, um seine eigene MAC-Adresse mit einer legitimen Netzwerk-IP-Adresse zu verknüpfen. Diese Bindungen zwischen IPv6-Adressen und MAC-Adressen werden von jedem Knoten in seinem Nachbarcache gespeichert. Sobald die Caches mit den bösartigen Bindungen aktualisiert wurden, kann der Angreifer einen Man-in-the-Middle-Angriff starten und Datenverkehr abfangen, der für einen legitimen Host bestimmt war.

  • Routing von Denial-of-Service-Angriffen (DoS): Ein Angreifer kann einen Host dazu bringen, seinen First-Hop-Router zu deaktivieren, indem er die Adresse eines Routers vortäuscht und eine Nachbarankündigungsnachricht mit deaktiviertem Router-Flag sendet. Der Opferhost geht davon aus, dass das Gerät, das früher sein First-Hop-Router war, kein Router mehr ist.

  • Umleitungsangriffe: Router verwenden ICMPv6-Umleitungsanfragen, um einen Host über eine effizientere Route zu einem Ziel zu informieren. Hosts können zu einem besseren First-Hop-Router umgeleitet werden, aber auch durch eine Router-Umleitungsnachricht darüber informiert werden, dass das Ziel tatsächlich ein Nachbar ist. Ein Angreifer, der diese Bestimmung nutzt, kann einen ähnlichen Effekt wie Cache Poisoning erzielen und den gesamten Datenverkehr des Opferhosts abfangen. Bei der Überprüfung der Nachbarermittlung wird überprüft, ob Routerumleitungsnachrichten nur von vertrauenswürdigen Routern gesendet werden.

Aktivieren der ND-Inspektion

Anmerkung:

DHCPv6-Snooping wird automatisch aktiviert, wenn die Neighbor Discovery-Überprüfung konfiguriert ist. Für DHCPv6-Snooping ist keine explizite Konfiguration erforderlich.

So aktivieren Sie die Neighbor Discovery Inspection in einem VLAN:

Zugehörige Dokumentation