RA Guard es una función de seguridad de IPv6 que ayuda a proteger las redes de los ataques de enrutamiento. RA Guard funciona bloqueando los mensajes de solicitud de enrutamiento (RA) no autorizados de los enrutadores.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Los mensajes RA se utilizan para proporcionar información de enrutamiento a los hosts, como la dirección del enrutador predeterminado y las máscaras de subred. RA Guard ayuda a proteger las redes de los ataques de enrutamiento al bloquear los mensajes RA no autorizados, lo que puede ayudar a prevenir que los atacantes tomen el control del enrutamiento de la red.
RA Guard se puede habilitar en los enrutadores IPv6. Cuando RA Guard está habilitado, el enrutador solo enviará mensajes RA a los hosts que están en su subred. Los mensajes RA de los enrutadores que no están en la subred del host serán bloqueados por RA Guard.
RA Guard es una función de seguridad importante que puede ayudar a proteger las redes de los ataques de enrutamiento. RA Guard debe ser habilitado en todos los enrutadores IPv6 para brindar la máxima protección.
Funcionamiento de RA-Guard
A continuación, se explica a detalle cómo RA Guard funciona:
1. Descubrimiento de routers (Router Discovery)
Cuando los dispositivos se unen a una red IPv6, utilizan Neighbor Discovery Protocol (NDP) para descubrir los routers en el segmento de red. Los routers envían periódicamente mensajes de Router Advertisement (RA) para anunciar su presencia y proporcionar información de configuración de red.
2. Protección contra ataques de envenenamiento de anuncios de router
Un atacante podría intentar enviar mensajes de RA falsificados, haciéndose pasar por un router legítimo. Para prevenir esto, los switches o puntos de acceso inalámbricos que soportan RA Guard inspeccionan los mensajes RA entrantes y verifican si provienen de una fuente legítima.
3. Tabla de enrutadores permitidos (Allowed Routers Table)
Los switches o puntos de acceso inalámbricos que implementan RA Guard mantienen una tabla de enrutadores permitidos (Allowed Routers Table) que contiene las direcciones IPv6 y las interfaces MAC de los routers autorizados. Estos routers legítimos son aquellos que han sido configurados manualmente o que se han descubierto mediante otros métodos seguros de autoconfiguración de red.
4. Rechazo de mensajes RA no autorizados
Cuando un switch o punto de acceso recibe un mensaje RA, verifica si el remitente (router) está en la tabla de enrutadores permitidos. Si el router no está en la tabla, el mensaje RA se considera no autorizado y se descarta. Esto asegura que solo los routers legítimos puedan enviar mensajes RA a la red.
Consejos para habilitar RA Guard
- Consulte la documentación de su enrutador para obtener instrucciones sobre cómo habilitar RA Guard.
- Asegúrese de habilitar RA Guard en todos los enrutadores de su red.
- Cree una política de seguridad para RA Guard y asegúrese de que se adhiera a ella.
- Monitoree su red para detectar cualquier señal de actividad sospechosa.
Ventajas de utilizar RA Guard
- Protección contra ataques de envenenamiento de anuncios de router: La principal ventaja de RA Guard es que protege la red contra ataques de envenenamiento de anuncios de router. Al verificar la autenticidad de los mensajes de Router Advertisement (RA) entrantes, RA Guard evita que los routers no autorizados envíen anuncios falsificados que podrían redirigir el tráfico a rutas maliciosas o desviarlo a destinos no deseados.
- Mejora la seguridad de la red IPv6: Al prevenir el acceso no autorizado a los mensajes de RA, RA Guard refuerza la seguridad de la red y asegura que solo los routers legítimos puedan anunciar información de configuración y enrutamiento a los dispositivos locales.
- Protección contra redireccionamiento malicioso de tráfico: Al garantizar que los mensajes de RA provengan de fuentes confiables, RA Guard protege contra ataques “man-in-the-middle” y redireccionamiento de tráfico no deseado. Esto garantiza que los dispositivos en la red sigan las rutas de enrutamiento correctas y evita posibles vulnerabilidades de seguridad.
- Configuración manual de enrutadores permitidos: RA Guard permite a los administradores de red configurar manualmente los enrutadores permitidos en la tabla de enrutadores autorizados. Esto da un mayor control sobre qué routers pueden enviar mensajes de RA en la red.
Desventajas de utilizar RA Guard
- Configuración adicional: La implementación de RA Guard requiere una configuración adicional en los dispositivos de red, como switches o puntos de acceso inalámbricos. Esto puede ser un proceso adicional que los administradores de red deben realizar para habilitar y mantener la funcionalidad de RA Guard.
- Complejidad: Algunas implementaciones de RA Guard pueden ser complejas, especialmente en redes más grandes y complejas. Esto podría requerir una comprensión más profunda de la configuración de red y la administración de seguridad.
Posible impacto en la conectividad: Si la configuración de RA Guard no se realiza adecuadamente, podría dar lugar a problemas de conectividad, como bloqueo de mensajes RA legítimos. Esto podría afectar negativamente el funcionamiento normal de los dispositivos en la red.
Algunos escenarios reales donde se puede implementar RA Guard incluyen
Redes empresariales y corporativas
En redes empresariales, RA Guard se utiliza para proteger contra ataques de envenenamiento de anuncios de router. Asegura que solo los routers legítimos y autorizados puedan enviar anuncios de router a los dispositivos locales, evitando el riesgo de redireccionamiento malicioso de tráfico y fortaleciendo la seguridad de la red.
Redes de proveedores de servicios (ISP)
Los proveedores de servicios pueden implementar RA Guard en sus redes para proteger a sus clientes contra ataques de envenenamiento de anuncios de router. Esto garantiza que los clientes solo reciban información de configuración de enrutamiento de routers legítimos y confiables.
Redes inalámbricas públicas y puntos de acceso WiFi
En entornos con redes inalámbricas públicas, como aeropuertos, hoteles o cafeterías, la implementación de RA Guard en puntos de acceso WiFi ayuda a proteger a los usuarios contra posibles ataques de envenenamiento de anuncios de router. Esto mejora la seguridad de la conexión y evita que los usuarios sean redirigidos a sitios maliciosos.
Redes académicas y educativas
En instituciones educativas y académicas, RA Guard puede ser implementado para proteger las redes y los dispositivos de los estudiantes y personal contra ataques de envenenamiento de anuncios de router. Esto garantiza que la infraestructura de la red y los recursos compartidos estén seguros y protegidos.
Redes de data centers y nubes
En entornos de data centers y nubes, RA Guard se utiliza para proteger la infraestructura de red y los recursos de los clientes contra posibles ataques. Esto asegura la integridad de la red y evita la manipulación maliciosa de los anuncios de router.
Redes de IoT (Internet de las cosas)
En redes de IoT, donde muchos dispositivos se comunican automáticamente mediante Neighbor Discovery Protocol (NDP), RA Guard es esencial para prevenir ataques de envenenamiento de anuncios de router y garantizar la seguridad de los dispositivos y la red en general.
Ejemplos de configuración
A continuación, veamos un ejemplo de cómo se podría configurar RA Guard en un switch Cisco Catalyst utilizando el protocolo IPv6 y el sistema operativo IOS-XE:
# Acceder al modo de configuración global
configure terminal
# Habilitar RA Guard en una interfaz específica (por ejemplo, GigabitEthernet0/1)
interface GigabitEthernet0/1
ipv6 nd ra guard
# Opcionalmente, configurar el modo de operación de RA Guard
# El modo "strict" (predeterminado) bloqueará todos los paquetes RA entrantes no válidos.
# El modo "loose" permitirá anuncios RA entrantes si la interfaz está configurada para ser un router legítimo.
interface GigabitEthernet0/1
ipv6 nd ra guard mode strict
# Salir del modo de configuración de la interfaz
exit
# Aplicar la configuración a la interfaz y guardar la configuración
end
write memory
En este ejemplo, RA Guard se habilita en la interfaz GigabitEthernet0/1. Además, se configura el modo de operación de RA Guard en “strict”, lo que significa que bloqueará todos los paquetes RA entrantes que no sean válidos, es decir, aquellos que no provengan de un router legítimo.
Es importante tener en cuenta que la configuración exacta puede variar según el modelo y la versión del switch Cisco, así como según la topología de red específica. También es esencial asegurarse de que los routers legítimos estén correctamente configurados en la tabla de enrutadores permitidos (Allowed Routers Table) para evitar problemas de conectividad no deseados.
Siempre es recomendable realizar pruebas y verificar el comportamiento de la red después de implementar RA Guard para asegurarse de que funcione como se espera y no afecte negativamente el tráfico legítimo en la red.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Libro IPv6 con MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCIPv6E actualizado a RouterOS v7