Saltar al contenido

¿Por qué ARP se reemplaza por NDP en IPv6?

Hola, encontramos la respuesta a lo que buscas, desplázate y la obtendrás un poco más abajo.

Solución:

¿Existe algún problema de seguridad en ARP?

Si. Aquí están algunas:

  • Suplantación de ARP.

    Los mensajes ARP falsos se envían a través de una LAN, lo que resulta en la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red.

    Consulte a continuación para obtener más información sobre ARP Spoofing / Poisoning.

  • MAC Flooding.

    La tabla de traducción que rastrea qué direcciones MAC están en qué puertos físicos tiene una cantidad limitada de memoria. Esto permite explotar un conmutador inundando la tabla de traducción. Los conmutadores primitivos, sin saber cómo manejar el exceso de datos, ‘fallarán al abrirse’ y transmitirán todas las tramas de la red a todos los puertos.

  • Duplicación de MAC.

    En un ataque de duplicación de MAC, un conmutador se confunde y piensa que dos puertos tienen la misma dirección MAC. Dado que los datos se reenviarán a ambos puertos, no es necesario ningún reenvío de IP.

Seguridad de origen del protocolo de resolución de direcciones TCP / IP (ARP)


¿Por qué ARP fue reemplazado por NDP?

Proporciona mejoras y funciones adicionales para IPv6.

Consulte a continuación una comparación de NDP y los protocolos Protocolo de resolución de direcciones [ARP], Descubrimiento de enrutador ICMP [RDISC]y redireccionamiento ICMP [ICMPv4].


¿Cómo se defiende NDP contra ARP Spoofing / Poisoning?

Utiliza el protocolo Secure Neighbor Discovery (SEND). Las direcciones generadas criptográficamente garantizan que la fuente reclamada de un mensaje NDP sea el propietario de la dirección reclamada.

Una de las funciones del Protocolo de descubrimiento de vecinos (NDP) IPv6 es resolver direcciones de capa de red (IP) a direcciones de capa de enlace (por ejemplo, Ethernet), una función realizada en IPv4 por Protocolo de resolución de direcciones (ARP). El protocolo Secure Neighbor Discovery (SEND) evita que un atacante que tiene acceso al segmento de transmisión abuse de NDP o ARP para engañar a los hosts para que envíen el tráfico del atacante destinado a otra persona, una técnica conocida como envenenamiento ARP.

Para protegerse contra el envenenamiento de ARP y otros ataques contra las funciones de NDP, SEND debe implementarse donde no sea posible evitar el acceso al segmento de transmisión.

SEND utiliza pares de claves RSA para producir direcciones generadas criptográficamente, como se define en RFC 3972, Direcciones generadas criptográficamente (CGA). Esto asegura que la fuente reclamada de un mensaje NDP sea el propietario de la dirección reclamada.

Origen que configura la detección segura de vecinos IPv6


¿Cómo funciona ARP Spoofing?

ARP Spoofing también se conoce como ARP Poison Routing (APR) o ARP Cache Poisoning.

La suplantación de ARP es un tipo de ataque en el que un actor malintencionado envía mensajes ARP (Protocolo de resolución de direcciones) falsificados a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red.

Una vez que la dirección MAC del atacante está conectada a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato destinado a esa dirección IP.

La suplantación de ARP puede permitir que las partes malintencionadas intercepten, modifiquen o incluso detengan los datos en tránsito. Los ataques de suplantación de identidad ARP solo pueden ocurrir en redes de área local que utilizan el Protocolo de resolución de direcciones.

Suplantación de ARP de Veracode fuente


¿Cómo funciona un ataque de suplantación de identidad ARP?

Los pasos para un ataque de suplantación de ARP generalmente incluyen:

  1. El atacante abre una herramienta de suplantación de identidad ARP y configura la dirección IP de la herramienta para que coincida con la subred IP de un objetivo. Ejemplos de software de suplantación de identidad ARP populares incluyen Arpspoof, Cain & Abel, Arpoison y Ettercap.

  2. El atacante utiliza la herramienta de suplantación de identidad ARP para buscar las direcciones IP y MAC de los hosts en la subred del objetivo.

  3. El atacante elige su objetivo y comienza a enviar paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP del objetivo.

  4. Como otros hosts en la LAN almacenan en caché los paquetes ARP falsificados, los datos que esos hosts envían a la víctima irán al atacante. Desde aquí, el atacante puede robar datos o lanzar un ataque de seguimiento más sofisticado.

Suplantación de ARP de Veracode fuente

El atacante puede optar por inspeccionar los paquetes (espionaje), mientras reenvía el tráfico a la puerta de enlace predeterminada real para evitar el descubrimiento, modificar los datos antes de reenviarlos (ataque man-in-the-middle) o lanzar una denegación de servicio ataque haciendo que algunos o todos los paquetes de la red se descarten.

Fuente Wikipedia ARP spoofing


Comparación [of NDP] con IPv4

El protocolo de descubrimiento de vecinos IPv6 corresponde a una combinación de los protocolos IPv4 Protocolo de resolución de direcciones [ARP], Descubrimiento de enrutador ICMP [RDISC]y redireccionamiento ICMP [ICMPv4].

En IPv4 no existe un protocolo o mecanismo generalmente acordado para la detección de inaccesibilidad de vecinos, aunque el documento de requisitos de hosts
[HR-CL] especifica algunos algoritmos posibles para la detección de puerta de enlace muerta (un subconjunto de los problemas que aborda la detección de inaccesibilidad de vecinos).

El protocolo de descubrimiento de vecinos proporciona una multitud de mejoras sobre el conjunto de protocolos IPv4:

  • El descubrimiento de enrutadores es parte del conjunto de protocolos base; no hay necesidad de que los hosts “fisgoneen” los protocolos de enrutamiento.

  • Los anuncios de enrutador llevan direcciones de capa de enlace; no se necesita ningún intercambio de paquetes adicional para resolver la dirección de la capa de enlace del enrutador.

  • Los anuncios de enrutador llevan prefijos para un enlace; no es necesario tener un mecanismo separado para configurar la “máscara de red”.

  • Los anuncios de enrutador habilitan la configuración automática de direcciones.

  • Los enrutadores pueden anunciar una MTU para que los hosts la utilicen en el enlace, lo que garantiza que todos los nodos utilicen el mismo valor de MTU en enlaces que carecen de una MTU bien definida.

  • Las multidifusiones de resolución de direcciones se “distribuyen” en 16 millones (2 ^ 24) de direcciones de multidifusión, lo que reduce en gran medida las interrupciones relacionadas con la resolución de direcciones en nodos distintos del objetivo. Además, las máquinas que no son IPv6 no deben interrumpirse en absoluto.

  • Los redireccionamientos contienen la dirección de la capa de enlace del nuevo primer salto; no se necesita una resolución de dirección separada al recibir una redirección.

  • Se pueden asociar varios prefijos con el mismo enlace. De forma predeterminada, los hosts aprenden todos los prefijos en el enlace de los anuncios de enrutadores. Sin embargo, los enrutadores pueden configurarse para omitir algunos o todos los prefijos de los anuncios de enrutadores. En tales casos, los hosts asumen que los destinos están fuera del enlace y envían tráfico a los enrutadores. Luego, un enrutador puede emitir redireccionamientos según corresponda.

  • A diferencia de IPv4, el destinatario de una redirección de IPv6 asume que el nuevo salto siguiente está en el enlace. En IPv4, un host ignora las redirecciones que especifican un salto siguiente que no está en el enlace de acuerdo con la máscara de red del enlace. El mecanismo de redireccionamiento de IPv6 es análogo a la función XRedirect especificada en [SH-MEDIA]. Se espera que sea útil en enlaces de medios no difundidos y compartidos en los que no es deseable o no es posible que los nodos conozcan todos los prefijos de los destinos en el enlace.

  • La detección de inaccesibilidad de vecinos es parte de la base, lo que mejora significativamente la solidez de la entrega de paquetes en presencia de enrutadores que fallan, enlaces parcialmente fallados o particionados, o nodos que cambian sus direcciones de capa de enlace. Por ejemplo, los nodos móviles pueden salir del enlace sin perder conectividad debido a cachés ARP obsoletos.

  • A diferencia de ARP, Neighbor Discovery detecta fallas de medio enlace (mediante la detección de inaccesibilidad de vecinos) y evita enviar tráfico a vecinos con los que no hay conectividad bidireccional.

  • A diferencia de la detección de enrutador IPv4, los mensajes de anuncio de enrutador no contienen un campo de preferencia. El campo de preferencia no es necesario para manejar enrutadores de diferente “estabilidad”; la Detección de inaccesibilidad de vecinos detectará enrutadores muertos y cambiará a uno que funcione.

  • El uso de direcciones de enlace local para identificar enrutadores de manera única (para anuncios de enrutador y mensajes de redireccionamiento) hace posible que los hosts mantengan las asociaciones de enrutadores en caso de que el sitio vuelva a numerarse para usar nuevos prefijos globales.

  • Al establecer el límite de saltos en 255, el descubrimiento de vecinos es inmune a los remitentes fuera de enlace que envían mensajes ND accidental o intencionalmente. En IPv4, los remitentes fuera de enlace pueden enviar mensajes de redireccionamiento ICMP y de anuncios de enrutador.

  • Colocar la resolución de direcciones en la capa ICMP hace que el protocolo sea más independiente de los medios que ARP y hace posible el uso de mecanismos de seguridad y autenticación de capa IP genéricos, según corresponda.

Fuente de descubrimiento de vecinos RFC 4861 en IPv6


Otras lecturas

  • Técnicas de mitigación y ataque de envenenamiento por ARP (hombre en el medio)
  • Comprensión de los ataques de intermediario: envenenamiento de caché de ARP (parte 1)
  • ¿Cómo funciona la intoxicación por ARP?
  • RFC 4861 Descubrimiento de vecinos en IPv6

NDP tiene más funciones que ARP, incluyendo:

  • A través de NDP, los dispositivos de la red pueden determinar la dirección MAC / capa de enlace (la misma función que ARP).

  • Con NDP, los dispositivos en la red pueden localizar la ruta para llegar a otro dispositivo en una red externa, ubicando el mejor enrutador al dispositivo de destino.

  • NDP permite la configuración automática de direcciones IPv6.

Comparándolo con ARP, el mecanismo es diferente:

ARP utiliza mensajes de difusión, mientras que NDP utiliza mensajes ICMPv6 de multidifusión.

El dispositivo envía un mensaje de multidifusión llamado “Mensaje ICMP de solicitud de vecino” o NS. El dispositivo de destino responde con un “Mensaje ICMP de anuncio de vecino” o N / A.

El mensaje NS utiliza una dirección de destino de multidifusión especial llamada dirección de multidifusión de nodo solicitado que representa a todos los hosts con los mismos últimos 24 bits de sus direcciones IPv6. El uso de multidifusión en lugar de difusión reduce el flujo de tráfico innecesario en la red.

La introducción de NDP en lugar de ARP se debió principalmente al deseo de consolidar los protocolos de control en torno a IP. IPv4 disfruta de varios protocolos de control como ICMP, IGMP y ARP / RARP. Con IPv6, tanto NDP (sucesor de ARP) como MLD (sucesor de IGMP) se diseñaron como subprotocolos de ICMPv6 para que solo haya un protocolo de control. No había ninguna razón de seguridad para esto, ND es tan susceptible a la suplantación de identidad como ARP, y ND no fue diseñado para la seguridad.

En los primeros días del desarrollo de IPv6, IPsec se consideraba los medida de seguridad genérica y por lo tanto era obligatoria. Sin embargo, este requisito se ha degradado a una recomendación (RFC 6434, creo que se debe principalmente a los dispositivos integrados y al IoT, que simplemente no son capaces de realizar cálculos de clave pública, además de que tropezarían con problemas de PKI de todo tipo. , de todos modos) y no funciona bien (cortésmente hablando) para asegurar ND. SeND se introdujo para incorporar la seguridad en ND, pero como en prácticamente todos los intentos anteriores en el diseño de software de seguridad retroactiva, el resultado fue, digamos, menos que óptimo. Dado que todavía no hay implementaciones de SeND, salvo algunas experimentales, para todos los propósitos prácticos, SeND no existe. Además, hay razones para creer que SeND, al menos en su forma actual, nunca despegará.

Por el contrario, SAVI parece más prometedor, pero requiere cambios en la infraestructura de conmutación y los equipos compatibles con SAVI no tienen un precio muy bajo, por lo que tampoco van a proliferar rápidamente. SAVI trabaja sobre la base de que dentro de un sitio debe ser “conocido” qué asignaciones entre direcciones HW (es decir, dirección MAC) y direcciones IP son legítimas y, por lo tanto, debería ser posible identificar y eliminar mensajes NDP falsos.

Las mejores recetas son las más simples, pero a menudo se pasan por alto: divida las LAN grandes en otras más pequeñas, para que la suplantación de ARP y ND funcione solo para objetivos en la misma LAN. Por lo tanto, el simple hecho de colocar dispositivos no confiables en sus propios segmentos de LAN (no se necesitan reglas de firewall / filtrado) reducirá en gran medida la superficie de ataque.

Aquí tienes las comentarios y calificaciones

No se te olvide difundir este tutorial si te valió la pena.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *