Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 ネイバー検出インスペクション

IPv6ネイバー検出プロトコルの概要

IPv6 ノード(ホストとルーター)は、NDP(Neighbor Discovery Protocol)を使用して、同じリンク上に存在する他のノードのプレゼンス アドレスとリンク レイヤー アドレスを検出します。ホストは NDP を使用して、パケットの転送を喜んで代行するネイバー ルーターを見つけ、ルーターは NDP を使用してプレゼンスをアドバタイズします。ノードは NDP を使用して、アクティブなネイバーへのパスに関する到達可能性情報を維持します。ルーターまたはルーターへのパスに障害が発生した場合、ホストは代替パスを検索できます。

NDP プロセスは、ネイバーの要求メッセージとアドバタイズメント メッセージの交換に基づいています。NDP メッセージは保護されていないので、NDP はリンクレイヤー アドレスのスプーフィング(または鍛造)を含む攻撃の影響を受けやすくなります。攻撃ノードは、スプーフィングされた送信元MACアドレスを持つネイバー要求メッセージを送信するか、スプーフィングされたターゲットMACアドレスを持つネイバーアドバタイズメントアドレスを送信することで、正規のノードのパケットを他のリンクレイヤーアドレスに送信する可能性があります。その後、スプーフィングされた MAC アドレスは、他のノードによって正規のネットワーク IPv6 アドレスに関連付けられます。

ネイバー検出(ND)インスペクション

IPv6ネイバー検出インスペクションは、ネイバー検出メッセージを検査し、DHCPv6スヌーピングテーブルに対して検証することで、NDPセキュリティの脆弱性を緩和します。DHCPv6 のスヌーピング テーブルは、DHCPv6 メッセージ 交換をスヌーピングして構築され、VLAN に関連付けられた各ホストの IPv6 アドレス、MAC アドレス、VLAN、インターフェイスを含みます。信頼できないインターフェイスでネイバー検出メッセージを受信すると、送信元 IPv6 および MAC アドレス、VLAN、インターフェイスを DHCPv6 スヌーピング テーブル内のエントリと一致させる必要がない限り、ネイバー検出インスペクションはパケットを破棄します。CLI ステートメントを設定すると、エントリを DHCPv6 スヌーピング テーブルに static-ipv6 追加できます。

メモ:

ネイバー検出メッセージは、信頼できるインターフェイスで常に許可されます。

ネイバー検出インスペクションでは、5 種類の ICMPv6 メッセージ タイプ(ルーター要求、ルーター アドバタイズメント、ネイバー要求、ネイバー アドバタイズメント、リダイレクト)を検証します。DHCPv6 スヌーピング テーブルに対して検証できないメッセージ パケットを破棄することで、ネイバー検出インスペクションは次のような攻撃を防ぐことができます。

  • キャッシュポイズニング攻撃:ネイバー検出キャッシュポイズニングは、ARPスプーフィングに相当するIPv6です。攻撃者は、攻撃者が偽造アドレスを使用して、ネットワーク上の他のホストに非送信請求のアドバタイズメントを送信し、独自のMACアドレスを正規のネットワークIPアドレスに関連付けます。これらの IPv6 アドレスと MAC アドレス間のバインディングは、各ノードによってネイバー キャッシュに格納されます。キャッシュが悪意のあるバインディングで更新されると、攻撃者は中間者攻撃を開始し、正規のホストを対象としたトラフィックを傍受できます。

  • サービス拒否(DoS)攻撃のルーティング:攻撃者は、ルーターのアドレスをスプーフィングし、 ルーター フラグが クリアされたネイバー アドバタイズメント メッセージを送信することで、ホストにファーストホップ ルーターを無効にさせる可能性があります。被害者ホストは、以前はファーストホップ ルーターとして使用されたデバイスがルーターではないと仮定します。

  • リダイレクト攻撃:ルーターは ICMPv6 リダイレクト要求を使用して、宛先へのより効率的なルートをホストに通知します。ホストは、より優れたファーストホップ ルーターにリダイレクトできますが、宛先が実際にはネイバーであることをルーター リダイレクト メッセージによって通知することもできます。このプロビジョニングを使用する攻撃者は、キャッシュポイズニングと同様の効果を実現し、被害者ホストからのすべてのトラフィックを傍受できます。ネイバー検出インスペクションは、ルーター リダイレクト メッセージが信頼できるルーターによってのみ送信されていることを確認します。

ND インスペクションの有効化

メモ:

DHCPv6 スヌーピングは、ネイバー検出インスペクションが設定されている場合に自動的に有効になります。DHCPv6 スヌーピングに明示的な設定は必要ありません。

VLAN でネイバー検出インスペクションを有効にするには、次の手順に基づきます。