RA Guard és una funció de seguretat d'IPv6 que ajuda a protegir les xarxes dels atacs d'encaminament. RA Guard funciona bloquejant els missatges de sol·licitud d'encaminament (RA) no autoritzats dels encaminadors.
Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura
Els missatges RA s'utilitzen per proporcionar informació d'encaminament als amfitrions, com ara l'adreça de l'encaminador per defecte i les màscares de subxarxa. RA Guard ajuda a protegir les xarxes dels atacs d'encaminament en bloquejar els missatges RA no autoritzats, cosa que pot ajudar a prevenir que els atacants prenguin el control de l'encaminament de la xarxa.
RA Guard es pot habilitar als encaminadors IPv6. Quan RA Guard està habilitat, l'encaminador només enviarà missatges RA als hosts que estan a la seva subxarxa. Els missatges RA dels encaminadors que no són a la subxarxa del host seran bloquejats per RA Guard.
RA Guard és una funció de seguretat important que pot ajudar a protegir les xarxes dels atacs d'encaminament. RA Guard ha de ser habilitat en tots els encaminadors IPv6 per brindar la màxima protecció.
Funcionament de RA-Guard
A continuació, s'explica detalladament com RA Guard funciona:
1. Descobriment de routers (Router Discovery)
Quan els dispositius s'uneixen a una xarxa IPv6, utilitzen Neighbor Discovery Protocol (NDP) per descobrir els encaminadors al segment de xarxa. Els encaminadors envien periòdicament missatges de Router Advertisement (RA) per anunciar la seva presència i proporcionar informació de configuració de xarxa.
2. Protecció contra atacs d'enverinament d'anuncis de router
Un atacant podria intentar enviar missatges de RA falsificats, fent-se passar per un encaminador legítim. Per evitar-ho, els controladors o punts d'accés sense fil que suporten RA Guard inspeccionen els missatges RA entrants i verifiquen si provenen d'una font legítima.
3. Taula d'encaminadors permesos (Allowed Routers Table)
Lus switches o punts d'accés sense fil que implementen RA Guard mantenen una taula d'encaminadors permesos (Allowed Routers Table) que conté les adreces IPv6 i les interfícies MAC dels encaminadors autoritzats. Aquests encaminadors legítims són aquells que han estat configurats manualment o que s'han descobert mitjançant altres mètodes segurs d'autoconfiguració de xarxa.
4. Rebuig de missatges RA no autoritzats
Quan un switch o punt d'accés rep un missatge RA, verifiqueu si el remitent (router) és a la taula d'encaminadors permesos. Si el router no és a la taula, el missatge RA es considera no autoritzat i es descarta. Això assegura que només els encaminadors legítims puguin enviar missatges RA a la xarxa.
Consells per habilitar RA Guard
- Consulteu la documentació del vostre encaminador per obtenir instruccions sobre com habilitar RA Guard.
- Assegureu-vos d'habilitar RA Guard a tots els encaminadors de la vostra xarxa.
- Creeu una política de seguretat per a RA Guard i assegureu-vos que s'hi adhereixi.
- Monitoritzeu la vostra xarxa per detectar qualsevol senyal d'activitat sospitosa.
Avantatges d'utilitzar RA Guard
- Protecció contra atacs d'enverinament d'anuncis de router: El principal avantatge de RA Guard és que protegeix la xarxa contra atacs d'enverinament d'anuncis d'encaminador. En verificar l'autenticitat dels missatges de Router Advertisement (RA) entrants, RA Guard evita que els encaminadors no autoritzats enviïn anuncis falsificats que podrien redirigir el trànsit a rutes malicioses o desviar-lo a destinacions no desitjades.
- Millora la seguretat de la xarxa IPv6: En prevenir l'accés no autoritzat als missatges de RA, RA Guard reforça la seguretat de la xarxa i assegura que només els encaminadors legítims puguin anunciar informació de configuració i encaminament als dispositius locals.
- Protecció contra redireccionament maliciós de trànsit: En garantir que els missatges de RA provinguin de fonts fiables, RA Guard protegeix contra atacs “man-in-the-middle” i redireccionament de trànsit no desitjat. Això garanteix que els dispositius a la xarxa segueixin les rutes d'encaminament correctes i evita possibles vulnerabilitats de seguretat.
- Configuració manual d'encaminadors permesos: RA Guard permet als administradors de xarxa configurar manualment els encaminadors permesos a la taula d'encaminadors autoritzats. Això dóna més control sobre quins routers poden enviar missatges de RA a la xarxa.
Desavantatges d'utilitzar RA Guard
- Configuració addicional: La implementació de RA Guard requereix una configuració addicional als dispositius de xarxa, com switches o punts d'accés sense fil. Això pot ser un procés addicional que els administradors de xarxa han de fer per habilitar i mantenir la funcionalitat de RA Guard.
- Complexitat: Algunes implementacions de RA Guard poden ser complexes, especialment en xarxes més grans i complexes. Això podria requerir una comprensió més profunda de la configuració de xarxa i ladministració de seguretat.
Possible impacte a la connectivitat: Si la configuració de RA Guard no es realitza adequadament, podria donar lloc a problemes de connectivitat, com ara bloqueig de missatges RA legítims. Això podria afectar negativament el funcionament normal dels dispositius a la xarxa.
Alguns escenaris reals on es pot implementar RA Guard inclouen
Xarxes empresarials i corporatives
A les xarxes empresarials, RA Guard s'utilitza per protegir contra atacs d'enverinament d'anuncis de router. Assegura que només els routers legítims i autoritzats puguin enviar anuncis de router als dispositius locals, evitant el risc de redireccionament maliciós de trànsit i enfortint la seguretat de la xarxa.
Xarxes de proveïdors de serveis (ISP)
Els proveïdors de serveis poden implementar RA Guard a les seves xarxes per protegir els seus clients contra atacs d'enverinament d'anuncis de router. Això garanteix que els clients només rebin informació de configuració d'encaminament de encaminadors legítims i fiables.
Xarxes sense fil públiques i punts d'accés WiFi
En entorns amb xarxes sense fil públiques, com aeroports, hotels o cafeteries, la implementació de RA Guard en punts d'accés WiFi ajuda a protegir els usuaris contra possibles atacs d'enverinament d'anuncis de router. Això millora la seguretat de la connexió i evita que els usuaris siguin redirigits a llocs maliciosos.
Xarxes acadèmiques i educatives
A institucions educatives i acadèmiques, RA Guard pot ser implementat per protegir les xarxes i els dispositius dels estudiants i personal contra atacs d'enverinament d'anuncis de router. Això garanteix que la infraestructura de la xarxa i els recursos compartits estiguin segurs i protegits.
Xarxes de data centers i núvols
En entorns de data centers i núvols, RA Guard es fa servir per protegir la infraestructura de xarxa i els recursos dels clients contra possibles atacs. Això assegura la integritat de la xarxa i evita la manipulació maliciosa dels anuncis de router.
Xarxes de IoT (Internet de les coses)
A xarxes de IoT, on molts dispositius es comuniquen automàticament mitjançant Neighbor Discovery Protocol (NDP), RA Guard és essencial per prevenir atacs d'enverinament d'anuncis de router i garantir la seguretat dels dispositius i la xarxa en general.
Exemples de configuració
A continuació, vegem un exemple de com es podria configurar RA Guard en un switch Cisco Catalyst utilitzant el protocol IPv6 i el sistema operatiu IOS-XE:
# Acceder al modo de configuración global
configure terminal
# Habilitar RA Guard en una interfaz específica (por ejemplo, GigabitEthernet0/1)
interface GigabitEthernet0/1
ipv6 nd ra guard
# Opcionalmente, configurar el modo de operación de RA Guard
# El modo "strict" (predeterminado) bloqueará todos los paquetes RA entrantes no válidos.
# El modo "loose" permitirá anuncios RA entrantes si la interfaz está configurada para ser un router legítimo.
interface GigabitEthernet0/1
ipv6 nd ra guard mode strict
# Salir del modo de configuración de la interfaz
exit
# Aplicar la configuración a la interfaz y guardar la configuración
end
write memory
En aquest exemple, RA Guard s'habilita a la interfície GigabitEthernet0/1. A més, es configura el mode d'operació de RA Guard a “strict”, el que significa que bloquejarà tots els paquets RA entrants que no siguin vàlids, és a dir, aquells que no provinguin d'un router legítim.
És important tenir en compte que la configuració exacta pot variar segons el model i la versió del switch Cisco, així com segons la topologia de xarxa específica. També és essencial assegurar-se que els encaminadors legítims estiguin correctament configurats a la taula d'encaminadors permesos (Allowed Routers Table) per evitar problemes de connectivitat no desitjats.
Sempre és recomanable fer proves i verificar el comportament de la xarxa després d'implementar RA Guard per assegurar-se que funcioni com s'espera i no afecti negativament el trànsit legítim a la xarxa.
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
Llibre IPv6 amb MikroTik, RouterOS v7
Material destudi per al Curs de Certificació MTCIPv6E actualitzat a RouterOS v7