Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Inspection de découverte des voisins IPv6

Présentation du protocole de découverte de voisinage IPv6

Les nuds IPv6 (hôtes et routeurs) utilisent le protocole NDP (Neighbor Discovery Protocol) pour découvrir la présence et les adresses de couche de liaison d’autres nuds résidant sur la même liaison. Les hôtes utilisent NDP pour trouver les routeurs voisins qui sont prêts à transférer des paquets en leur nom, tandis que les routeurs l’utilisent pour annoncer leur présence. Les nœuds utilisent également NDP pour conserver les informations d’accessibilité sur les chemins d’accès aux voisins actifs. Lorsqu’un routeur ou le chemin d’accès à un routeur tombe en panne, l’hôte peut rechercher d’autres chemins.

Le processus du NPD est basé sur l’échange de messages de sollicitation et de publicité des voisins. Les messages NDP ne sont pas sécurisés, ce qui rend le NDP vulnérable aux attaques impliquant l’usurpation (ou la falsification) d’adresses de couche de liaison. Un nœud attaquant peut envoyer des paquets pour des nœuds légitimes à une autre adresse de couche de liaison en envoyant un message de sollicitation de voisin avec une adresse MAC source usurpée ou en envoyant une adresse publicitaire voisine avec une adresse MAC cible usurpée. L’adresse MAC usurpée est ensuite associée à une adresse IPv6 réseau légitime par les autres nœuds.

Inspection ND (Neighbor Discovery)

L’inspection de découverte de voisinage IPv6 atténue les vulnérabilités de sécurité NDP en inspectant les messages de découverte de voisinage et en les vérifiant par rapport à la table d’écoute DHCPv6. La table de surveillance DHCPv6, qui est construite en espionnant les échanges de messages DHCPv6, inclut l’adresse IPv6, l’adresse MAC, le VLAN et l’interface pour chaque hôte associé au VLAN. Lorsqu’un message de découverte de voisinage est reçu sur une interface non approuvée, l’inspection de découverte de voisinage ignore le paquet, sauf si les adresses IPv6 et MAC source, le VLAN et l’interface peuvent être mis en correspondance avec une entrée de la table d’écoute DHCPv6. Les entrées peuvent être ajoutées à la table d’écoute DHCPv6 en configurant l’instruction static-ipv6 CLI.

Note:

Les messages de découverte de voisinage sont toujours autorisés sur les interfaces approuvées.

L’inspection de découverte de voisins vérifie cinq types de messages ICMPv6 différents : Sollicitation de routeur, Annonce de routeur, Sollicitation de voisinage, Annonce de voisinage et Redirection. En supprimant les paquets de messages qui ne peuvent pas être vérifiés par rapport à la table d’écoute DHCPv6, l’inspection de la découverte de voisins peut empêcher les types d’attaques suivants :

  • Attaques par empoisonnement de cache : l’empoisonnement de cache par découverte de voisins est l’équivalent IPv6 de l’usurpation ARP, dans laquelle un attaquant utilise une adresse falsifiée pour envoyer une publicité non sollicitée à d’autres hôtes sur le réseau, afin d’associer sa propre adresse MAC à une adresse IP réseau légitime. Ces liaisons entre les adresses IPv6 et les adresses MAC sont stockées par chaque nœud dans son cache voisin. Une fois que les caches sont mis à jour avec les liaisons malveillantes, l’attaquant peut lancer une attaque de l’homme du milieu, interceptant le trafic qui était destiné à un hôte légitime.

  • Attaques par déni de service (DoS) de routage : un attaquant peut amener un hôte à désactiver son routeur de premier saut en usurpant l’adresse d’un routeur et en envoyant un message d’annonce de voisinage avec l’indicateur de routeur effacé. L’hôte victime suppose que l’appareil qui était auparavant son routeur de premier saut n’est plus un routeur.

  • Attaques de redirection : les routeurs utilisent des requêtes de redirection ICMPv6 pour informer un hôte d’un itinéraire plus efficace vers une destination. Les hôtes peuvent être redirigés vers un meilleur routeur de premier saut, mais peuvent également être informés par un message de redirection de routeur que la destination est en fait un voisin. Un attaquant utilisant cette disposition peut obtenir un effet similaire à l’empoisonnement de cache et intercepter tout le trafic provenant de l’hôte victime. L’inspection de découverte des voisins vérifie que les messages de redirection de routeur sont envoyés uniquement par des routeurs approuvés.

Activation de l’inspection ND

Note:

La surveillance DHCPv6 est activée automatiquement lorsque l’inspection de découverte de voisinage est configurée. Aucune configuration explicite n’est requise pour la surveillance DHCPv6.

Pour activer l’inspection de découverte de voisinage sur un VLAN :

Documentation connexe