Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Inspección de descubrimiento de vecinos IPv6

Descripción general del protocolo de descubrimiento de vecinos IPv6

Los nodos IPv6 (hosts y enrutadores) utilizan el protocolo Neighbor Discovery Protocol (NDP) para descubrir la presencia y las direcciones de capa de vínculo de otros nodos que residen en el mismo vínculo. Los hosts usan NDP para encontrar enrutadores vecinos que están dispuestos a reenviar paquetes en su nombre, mientras que los enrutadores lo usan para anunciar su presencia. Los nodos también usan NDP para mantener la información de accesibilidad sobre las rutas a vecinos activos. Cuando falla un enrutador o la ruta a un enrutador, un host puede buscar rutas alternativas.

El proceso NDP se basa en el intercambio de mensajes de solicitud y publicidad de vecinos. Los mensajes NDP no son seguros, lo que hace que NDP sea susceptible a ataques que impliquen la suplantación (o falsificación) de direcciones de capa de vínculo. Un nodo atacante puede hacer que los paquetes de nodos legítimos se envíen a alguna otra dirección de capa de enlace, ya sea enviando un mensaje de solicitud de vecino con una dirección MAC de origen falsificada o enviando una dirección de anuncio de vecino con una dirección MAC de destino falsificada. A continuación, los otros nodos asocian la dirección MAC falsificada a una dirección IPv6 de red legítima.

Inspección de descubrimiento de vecinos (ND)

La inspección de detección de vecinos IPv6 mitiga las vulnerabilidades de seguridad del NDP al inspeccionar los mensajes de descubrimiento de vecinos y verificarlos con la tabla de espionaje de DHCPv6. La tabla de espionaje DHCPv6, que se construye mediante el espionaje de intercambios de mensajes DHCPv6, incluye la dirección IPv6, la dirección MAC, la VLAN y la interfaz para cada host asociado con la VLAN. Cuando se recibe un mensaje de detección de vecinos en una interfaz que no es de confianza, la inspección de detección de vecinos descarta el paquete a menos que las direcciones IPv6 y MAC de origen, VLAN e interfaz puedan coincidir con una entrada de la tabla de espionaje DHCPv6. Las entradas se pueden agregar a la tabla de espionaje DHCPv6 configurando la static-ipv6 instrucción CLI.

Nota:

Los mensajes de descubrimiento de vecinos siempre están permitidos en interfaces de confianza.

La inspección de descubrimiento de vecinos verifica cinco tipos diferentes de mensajes ICMPv6: solicitud de enrutador, anuncio de enrutador, solicitud de vecino, anuncio de vecino y redirección. Al descartar paquetes de mensajes que no se pueden comprobar con la tabla de espionaje DHCPv6, la inspección de detección de vecinos puede evitar los siguientes tipos de ataques:

  • Ataques de envenenamiento de caché: el envenenamiento de caché de descubrimiento de vecinos es el equivalente IPv6 de la suplantación de ARP, en la que un atacante utiliza una dirección falsificada para enviar un anuncio no solicitado a otros hosts de la red, para asociar su propia dirección MAC con una dirección IP de red legítima. Estos enlaces entre direcciones IPv6 y direcciones MAC son almacenados por cada nodo en su caché vecina. Una vez que las memorias caché se actualizan con los enlaces malintencionados, el atacante puede iniciar un ataque de tipo "Man in the middle", interceptando el tráfico destinado a un host legítimo.

  • Ataques de denegación de servicio de enrutamiento (DoS): un atacante podría hacer que un host deshabilite su enrutador de primer salto falsificando la dirección de un enrutador y enviando un mensaje de anuncio de vecino con la marca de enrutador desactivada. El host víctima asume que el dispositivo que solía ser su enrutador de primer salto ya no es un enrutador.

  • Ataques de redireccionamiento: los enrutadores utilizan solicitudes de redireccionamiento ICMPv6 para informar a un host de una ruta más eficiente a un destino. Los hosts pueden ser redirigidos a un mejor enrutador de primer salto, pero también pueden ser informados por un mensaje de redireccionamiento del enrutador de que el destino es, de hecho, un vecino. Un atacante que utilice esta disposición puede lograr un efecto similar al envenenamiento de caché e interceptar todo el tráfico del host víctima. La inspección de detección de vecinos comprueba que los mensajes de redireccionamiento de enrutador solo los envíen enrutadores de confianza.

Habilitación de la inspección ND

Nota:

La supervisión de DHCPv6 se habilita automáticamente cuando se configura la inspección de detección de vecinos. No se requiere ninguna configuración explícita para la supervisión de DHCPv6.

Para habilitar la inspección de detección de vecinos en una VLAN:

Documentación relacionada