Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IPv6 近隣探索インスペクション

IPv6 近隣探索プロトコルの概要

IPv6 ノード(ホストとルーター)は、NDP(近隣探索プロトコル)を使用して、同じリンク上にある他のノードの存在とリンク層アドレスを検出します。ホストは NDP を使用して、ホストに代わってパケットを転送する隣接ルーターを見つけ、ルーターは NDP を使用してホストの存在をアドバタイズします。また、ノードは NDP を使用して、アクティブなネイバーへのパスに関する到達可能性情報を維持します。ルーターまたはルーターへのパスに障害が発生した場合、ホストは代替パスを検索できます。

NDP プロセスは、ネイバー要請およびアドバタイズメント メッセージの交換に基づいています。NDP メッセージはセキュリティで保護されていないため、NDP はリンク層アドレスのスプーフィング(または偽造)を伴う攻撃を受けやすくなります。攻撃ノードは、スプーフィングされた送信元 MAC アドレスを持つネイバー要請メッセージを送信するか、スプーフィングされたターゲット MAC アドレスを持つネイバー アドバタイズメント アドレスを送信することによって、正当なノードのパケットを他のリンク層アドレスに送信することができます。スプーフィングされた MAC アドレスは、他のノードによって正規のネットワーク IPv6 アドレスに関連付けられます。

近隣探索(ND)インスペクション

IPv6 ネイバー探索インスペクションは、ネイバー探索メッセージを検査し、DHCPv6 スヌーピング テーブルと照合することで、NDP セキュリティの脆弱性を軽減します。DHCPv6 メッセージ交換をスヌーピングして構築される DHCPv6 スヌーピング テーブルには、IPv6 アドレス、MAC アドレス、VLAN、および VLAN に関連付けられた各ホストのインターフェイスが含まれています。信頼できないインターフェイスでネイバー探索メッセージを受信すると、送信元の IPv6 および MAC アドレス、VLAN、およびインターフェイスが DHCPv6 スヌーピング テーブルのエントリと一致しない限り、ネイバー探索インスペクションはパケットを破棄します。エントリーは、 static-ipv6 CLI ステートメントを設定することで、DHCPv6 スヌーピング テーブルに追加できます。

手記:

ネイバー探索メッセージは、信頼できるインターフェイスでは常に許可されます。

ネイバー探索インスペクションは、5 つの異なる ICMPv6 メッセージ タイプ(ルーター要請、ルーター アドバタイズメント、近隣要請、ネイバー アドバタイズメント、およびリダイレクト)を検証します。DHCPv6 スヌーピング テーブルで検証できないメッセージ パケットを破棄することで、ネイバー探索インスペクションは次のタイプの攻撃を防止できます。

  • キャッシュポイズニング攻撃:ネイバー探索キャッシュポイズニングは、ARPスプーフィングに相当するIPv6です。攻撃者は、偽造されたアドレスを使用して、ネットワーク上の他のホストに未承諾のアドバタイズメントを送信し、自分のMACアドレスを正当なネットワークIPアドレスに関連付けます。IPv6 アドレスと MAC アドレス間のこれらのバインディングは、各ノードによってネイバー キャッシュに格納されます。キャッシュが悪意のあるバインディングで更新されると、攻撃者は中間者攻撃を開始し、正当なホスト向けのトラフィックを傍受できます。

  • ルーティングサービス拒否(DoS)攻撃—攻撃者は、ルーターのアドレスをスプーフィングし、 ルーター フラグをクリアした状態でネイバーアドバタイズメッセージを送信することにより、ホストにファーストホップルーターを無効にさせる可能性があります。被害を受けたホストは、ファーストホップルーターだったデバイスがルーターではなくなったと想定します。

  • リダイレクト攻撃:ルーターは ICMPv6 リダイレクト要求を使用して、宛先へのより効率的なルートをホストに通知します。ホストはより優れたファーストホップルーターにリダイレクトできますが、宛先が実際にはネイバーであることをルーターリダイレクトメッセージで通知することもできます。このプロビジョニングを使用する攻撃者は、キャッシュポイズニングと同様の効果を達成し、被害者のホストからのすべてのトラフィックを傍受する可能性があります。ネイバー探索インスペクションは、ルーター リダイレクト メッセージが信頼できるルーターによってのみ送信されることを確認します。

ND インスペクションの有効化

手記:

DHCPv6 スヌーピングは、ネイバー探索インスペクションが設定されている場合、自動的に有効になります。DHCPv6 スヌーピングに明示的な設定は必要ありません。

VLAN でネイバー探索インスペクションを有効にするには:

関連ドキュメント