Por que o ARP é substituído pelo NDP no IPv6?


49

O ARP foi substituído pelo NDP (Neighbor Discovery Protocol). Mas não sei o motivo exato disso.

  • Existem problemas de segurança no ARP?
  • Por que o ARP é substituído pelo NDP?
  • Quais são as vantagens do ARP?

Alguém pode explicar isso em termos simples?

Respostas:


67

Existem problemas de segurança no ARP?

Sim. Aqui estão alguns:

  • ARP falsificação.

    Mensagens ARP falsas são enviadas por uma LAN, resultando na vinculação do endereço MAC de um invasor com o endereço IP de um computador ou servidor legítimo na rede.

    Veja abaixo mais informações sobre falsificação / envenenamento por ARP.

  • Inundação de MAC.

    A tabela de conversão que rastreia quais endereços MAC estão em quais portas físicas possuem uma quantidade limitada de memória. Isso permite que uma opção seja explorada inundando a tabela de conversão. Os switches primitivos, sem saber como lidar com o excesso de dados, "falharão abertos" e transmitirão todos os quadros de rede para todas as portas.

  • Duplicação de MAC.

    Em um ataque de duplicação de MAC, um switch é confundido ao pensar que duas portas têm o mesmo endereço MAC. Como os dados serão encaminhados para as duas portas, nenhum encaminhamento de IP é necessário.

Segurança de origem do protocolo ARP (TCP / IP Address Resolution Protocol)


Por que o ARP foi substituído pelo NDP?

Ele fornece aprimoramentos e recursos adicionais para o IPv6.

Veja abaixo uma comparação do NDP e dos protocolos Address Resolution Protocol [ARP], ICMP Router Discovery [RDISC] e ICMP Redirect [ICMPv4].


Como o NDP se defende contra o ARP Spoofing / Intoxicação?

Ele usa o protocolo Secure Neighbor Discovery (SEND). Endereços gerados criptograficamente garantem que a fonte reivindicada de uma mensagem NDP seja o proprietário do endereço reivindicado.

Uma das funções do NDP (Protocolo de descoberta de vizinhos IPv6) é resolver endereços da camada de rede (IP) para endereços da camada de link (por exemplo, Ethernet), uma função executada no IPv4 pelo ARP (Address Resolution Protocol). O protocolo Secure Neighbor Discovery (SEND) impede que um invasor que tenha acesso ao segmento de difusão abuse do NDP ou ARP para induzir os hosts a enviar o tráfego do invasor destinado a outra pessoa, uma técnica conhecida como envenenamento por ARP.

Para se proteger contra envenenamento por ARP e outros ataques contra funções NDP, o SEND deve ser implantado onde impedir o acesso ao segmento de transmissão não seja possível.

SEND usa pares de chaves RSA para produzir endereços criptograficamente gerados, conforme definido na RFC 3972, CGA (Cryptographically Generated Addresses). Isso garante que a fonte reivindicada de uma mensagem NDP seja o proprietário do endereço reivindicado.

Origem Configurando a descoberta segura de vizinhos IPv6


Como o ARP Spoofing funciona?

O ARP Spoofing também é conhecido como ARP Poison Routing (APR) ou ARP Cache Poisoning.

A falsificação de ARP é um tipo de ataque no qual um agente mal-intencionado envia mensagens ARP (Address Resolution Protocol) falsificadas através de uma rede local. Isso resulta na vinculação do endereço MAC de um invasor com o endereço IP de um computador ou servidor legítimo na rede.

Depois que o endereço MAC do invasor estiver conectado a um endereço IP autêntico, o invasor começará a receber quaisquer dados destinados a esse endereço IP.

A falsificação de ARP pode permitir que partes mal-intencionadas interceptem, modifiquem ou até parem dados em trânsito. Os ataques de falsificação de ARP só podem ocorrer em redes locais que utilizam o Protocolo de resolução de endereços.

Falha no ARP do Veracode de origem


Como funciona um ataque ARP Spoofing Attack?

As etapas para um ataque de falsificação de ARP geralmente incluem:

  1. O invasor abre uma ferramenta de falsificação ARP e define o endereço IP da ferramenta para corresponder à sub-rede IP de um destino. Exemplos de softwares populares de falsificação ARP incluem Arpspoof, Cain & Abel, Arpoison e Ettercap.

  2. O invasor usa a ferramenta de falsificação ARP para verificar os endereços IP e MAC dos hosts na sub-rede do destino.

  3. O invasor escolhe seu alvo e começa a enviar pacotes ARP pela LAN que contêm o endereço MAC do atacante e o endereço IP do alvo.

  4. Como outros hosts na LAN armazenam em cache os pacotes ARP falsificados, os dados que esses hosts enviam à vítima serão enviados para o invasor. A partir daqui, o invasor pode roubar dados ou iniciar um ataque de acompanhamento mais sofisticado.

Falha no ARP do Veracode de origem

O invasor pode optar por inspecionar os pacotes (espionagem), enquanto encaminha o tráfego para o gateway padrão real para evitar a descoberta, modificar os dados antes de enviá-los (ataque man-in-the-middle) ou iniciar uma negação de serviço ataque, fazendo com que alguns ou todos os pacotes da rede sejam descartados.

Fonte Wikipedia ARP spoofing


Comparação [do NDP] com IPv4

O protocolo IPv6 Neighbor Discovery corresponde a uma combinação dos protocolos IPv4 Address Resolution Protocol [ARP], ICMP Router Discovery [RDISC] e ICMP Redirect [ICMPv4].

No IPv4, não há um protocolo ou mecanismo geralmente acordado para a Detecção de Inacessibilidade ao Vizinho, embora o documento de Requisitos de Hosts [HR-CL] especifique alguns algoritmos possíveis para a Detecção de Gateway Morto (um subconjunto dos problemas relacionados à Detecção de Inacessibilidade ao Vizinho).

O protocolo Neighbor Discovery fornece uma infinidade de melhorias no conjunto de protocolos IPv4:

  • A descoberta de roteador faz parte do conjunto de protocolos base; não é necessário que os hosts "bisbilhotem" os protocolos de roteamento.

  • Anúncios de roteador transportam endereços da camada de link; nenhuma troca de pacotes adicional é necessária para resolver o endereço da camada de link do roteador.

  • Os anúncios de roteador carregam prefixos para um link; não é necessário ter um mecanismo separado para configurar a "máscara de rede".

  • Os anúncios de roteador ativam a configuração automática de endereço.

  • Os roteadores podem anunciar uma MTU para os hosts usarem no link, garantindo que todos os nós usem o mesmo valor de MTU nos links que não possuem uma MTU bem definida.

  • As multicasts de resolução de endereços são "espalhadas" por 16 milhões (2 ^ 24) de endereços multicast, reduzindo bastante as interrupções relacionadas à resolução de endereços em outros nós que não o destino. Além disso, máquinas que não sejam IPv6 não devem ser interrompidas.

  • Os redirecionamentos contêm o endereço da camada de link do novo primeiro salto; a resolução de endereço separado não é necessária ao receber um redirecionamento.

  • Vários prefixos podem ser associados ao mesmo link. Por padrão, os hosts aprendem todos os prefixos no link nos Anúncios de roteador. No entanto, os roteadores podem ser configurados para omitir alguns ou todos os prefixos dos Anúncios de roteador. Nesses casos, os hosts assumem que os destinos estão fora do link e enviam tráfego aos roteadores. Um roteador pode emitir redirecionamentos conforme apropriado.

  • Ao contrário do IPv4, o destinatário de um redirecionamento IPv6 assume que o novo salto seguinte esteja no link. No IPv4, um host ignora os redirecionamentos, especificando um salto seguinte que não está no link, de acordo com a máscara de rede do link. O mecanismo de redirecionamento IPv6 é análogo ao recurso XRedirect especificado em [SH-MEDIA]. Espera-se que seja útil em links de mídia não difundidos e compartilhados nos quais é indesejável ou impossível que os nós conheçam todos os prefixos para destinos no link.

  • A detecção de inacessibilidade do vizinho faz parte da base, o que melhora significativamente a robustez da entrega de pacotes na presença de roteadores com falha, links com falha parcial ou links particionados ou nós que alteram seus endereços da camada de link. Por exemplo, nós móveis podem sair do link sem perder nenhuma conectividade devido a caches ARP obsoletos.

  • Diferentemente do ARP, o Neighbor Discovery detecta falhas de meio link (usando a Detecção de inacessibilidade de vizinhos) e evita o envio de tráfego para vizinhos com os quais a conectividade bidirecional está ausente.

  • Diferentemente da descoberta de roteador IPv4, as mensagens de anúncio do roteador não contêm um campo de preferência. O campo de preferência não é necessário para manipular roteadores de "estabilidade" diferente; a detecção de inacessibilidade do vizinho detectará roteadores mortos e mudará para um que esteja funcionando.

  • O uso de endereços locais de link para identificar exclusivamente roteadores (para mensagens de anúncio e redirecionamento de roteador) possibilita que os hosts mantenham as associações de roteadores no caso de renumeração do site para usar novos prefixos globais.

  • Ao definir o limite de salto como 255, o Neighbor Discovery fica imune a remetentes fora de link que enviam mensagens ND acidental ou intencionalmente. No IPv4, os remetentes off-link podem enviar mensagens de redirecionamento de ICMP e anúncio de roteador.

  • A colocação da resolução de endereço na camada ICMP torna o protocolo mais independente de mídia que o ARP e possibilita o uso de mecanismos genéricos de autenticação e segurança da camada IP, conforme apropriado.

Descoberta de vizinhos de origem RFC 4861 no IPv6


Leitura adicional


Como o NDP defende o envenenamento agaísta?
grawity

Boa pergunta! Ele usa o protocolo Secure Neighbor Discovery (SEND). Resposta atualizada.
DavidPostill

2
Hmm, como muitos sistemas operacionais realmente usar SEND embora
grawity

2
@DavidPostill Não, o IPsec funciona em uma camada diferente da do ARP / NDP. Ele precisa de um canal de comunicação em funcionamento para estabelecer seus recursos de segurança.
ScaI

4
@DavidPostill Great post. No entanto, sua postagem é enganosa, pois sugere que o SeND é (a) parte integrante do NDP e (b) uma solução comum. Este não é o caso - o SeND é um complemento e não há implementações do SeND além das experimentais. Além disso, o SeND possui suas próprias falhas e abre possibilidades para ataques de negação de serviço. Finalmente, é razoável supor que o SeND nunca decole (pelo menos não em sua forma atual) e, portanto, não deve ser proposto em voz alta.
Countermode #

9

O NDP possui mais recursos que o ARP , incluindo:

  • Por meio do NDP, os dispositivos na rede podem determinar o endereço da camada MAC / link (mesma função do ARP).

  • Usando o NDP, os dispositivos na rede podem localizar o caminho para alcançar outro dispositivo em uma rede externa, localizando o melhor roteador para o dispositivo de destino.

  • O NDP permite a configuração automática de endereços IPv6.

Comparando-o com o ARP, o mecanismo é diferente:

O ARP usa mensagens de broadcast, enquanto o NDP usa mensagens ICMPv6 multicast.

O dispositivo envia uma mensagem multicast chamada "Mensagem ICMP de Solicitação de Vizinho" ou NS . O dispositivo de destino responde com uma "mensagem ICMP de anúncio vizinho" ou NA .

A mensagem NS usa um endereço de destino multicast especial chamado endereço multicast de nó solicitado que representa todos os hosts com os mesmos últimos 24 bits de seus endereços IPv6. O uso de multicast em vez de transmissão reduz o fluxo de tráfego desnecessário na rede.


5

A introdução do NDP em vez do ARP deveu-se principalmente ao desejo de consolidar os protocolos de controle em torno do IP. O IPv4 possui vários protocolos de controle, como ICMP, IGMP e ARP / RARP. Com o IPv6, o NDP (sucessor do ARP) e o MLD (sucessor do IGMP) foram projetados como subprotocolo do ICMPv6, para que exista apenas um protocolo de controle. Não havia motivo de segurança para isso, o ND é tão suscetível à falsificação quanto o ARP e o ND não foi projetado para segurança.

Nos primeiros dias do desenvolvimento do IPv6, o IPsec era visto como omedida genérica de segurança e, portanto, era obrigatória. Esse requisito, no entanto, foi rebaixado para uma recomendação (RFC 6434, acredito principalmente devido a dispositivos incorporados e IoT, que simplesmente não são capazes de realizar cálculos de chave pública, além de tropeçar em problemas de PKI de todos os tipos de qualquer maneira) e não funciona bem (educadamente falando) para garantir o ND. O SeND foi introduzido para agregar segurança ao ND, mas, como em praticamente todas as tentativas anteriores no design de software de segurança retroativa, o resultado foi, digamos, menos do que ideal. Como ainda não há implementações de SeND, exceto algumas experimentais, para todos os fins práticos, o SeND é inexistente. Além disso, há razões para acreditar que o SeND - pelo menos em sua forma atual - nunca decolará.

Por outro lado, o SAVI parece mais promissor, mas requer alterações na infraestrutura de comutação e o equipamento compatível com SAVI não tem um preço muito baixo, portanto, também não proliferará rapidamente. O SAVI trabalha com base no fato de que, dentro de um site, deve-se "saber" quais mapeamentos entre endereços HW (endereço MAC) e endereços IP são legítimos e, portanto, deve ser possível identificar e remover mensagens NDP falsas.

As melhores receitas são as mais simples, mas geralmente são ignoradas: divida as LANs grandes por outras menores, pois a falsificação de ARP e ND funciona apenas para destinos na mesma LAN. Portanto, apenas a colocação de dispositivos não confiáveis ​​em seus próprios segmentos de LAN (nenhuma regra de firewall / filtragem necessária) reduzirá bastante a superfície de ataque.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.