RA-Guard sur IPv6

Ingrid Espinoza
Août 3, 2023
1h
Pas de commentaires

RA Guard est une fonctionnalité de sécurité IPv6 qui permet de protéger les réseaux contre les attaques de routage. RA Guard fonctionne en bloquant les messages de demande de routage (RA) non autorisés provenant des routeurs.

A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture

Aller à Test

Les messages RA sont utilisés pour fournir des informations de routage aux hôtes, telles que l'adresse du routeur par défaut et les masques de sous-réseau. RA Guard aide à protéger les réseaux contre les attaques de routage en bloquant les messages RA non autorisés, ce qui peut empêcher les attaquants de prendre le contrôle du routage du réseau.

RA Guard peut être activé sur les routeurs IPv6. Lorsque RA Guard est activé, le routeur enverra uniquement des messages RA aux hôtes qui se trouvent sur son sous-réseau. Les messages RA provenant de routeurs qui ne se trouvent pas sur le sous-réseau de l'hôte seront bloqués par RA Guard.

RA Guard est une fonctionnalité de sécurité importante qui peut aider à protéger les réseaux contre les attaques de routage. RA Guard doit être activé sur tous les routeurs IPv6 pour fournir une protection maximale.

Fonctionnement RA-Guard

Voici une explication détaillée du fonctionnement de RA Guard :

1. Découverte du routeur

Lorsque des appareils rejoignent un réseau IPv6, ils utilisent le Neighbour Discovery Protocol (NDP) pour découvrir les routeurs sur le segment de réseau. Les routeurs envoient périodiquement des messages d'annonce de routeur (RA) pour annoncer leur présence et fournir des informations de configuration réseau.

2. Protection contre les attaques d'empoisonnement publicitaire du routeur

Un attaquant pourrait tenter d’envoyer des messages RA falsifiés, en se faisant passer pour un routeur légitime. Pour éviter cela, les commutateurs sans fil ou les points d'accès prenant en charge RA Guard inspectent les messages RA entrants et vérifient s'ils proviennent d'une source légitime.

3. Tableau des routeurs autorisés

LLes commutateurs ou points d'accès sans fil qui implémentent RA Guard maintiennent un tableau des routeurs autorisés qui contient les adresses IPv6 et les interfaces MAC des routeurs autorisés. Ces routeurs légitimes sont ceux qui ont été configurés manuellement ou découverts via d'autres méthodes de configuration automatique de réseau sécurisées.

4. Rejet des messages RA non autorisés

Lorsqu'un commutateur ou un point d'accès reçoit un message RA, il vérifie si l'expéditeur (routeur) figure dans le tableau des routeurs autorisés. Si le routeur ne figure pas dans le tableau, le message RA est considéré comme non autorisé et est rejeté. Cela garantit que seuls les routeurs légitimes peuvent envoyer des messages RA au réseau.

Conseils pour activer RA Guard

Consultez la documentation de votre routeur pour savoir comment activer RA Guard.
Assurez-vous d'activer RA Guard sur tous les routeurs de votre réseau.
Créez une politique de sécurité pour RA Guard et assurez-vous qu’elle y adhère.
Surveillez votre réseau pour détecter tout signe d'activité suspecte.

Avantages de l’utilisation de RA Guard

Protection contre les attaques d’empoisonnement publicitaire du routeur : Le principal avantage de RA Guard est qu’il protège le réseau contre les attaques d’empoisonnement publicitaire des routeurs. En vérifiant l'authenticité des messages d'annonce de routeur (RA) entrants, RA Guard empêche les routeurs non autorisés d'envoyer des publicités usurpées qui pourraient rediriger le trafic vers des routes malveillantes ou détourner le trafic vers des destinations indésirables.
Améliore la sécurité du réseau IPv6 : En empêchant tout accès non autorisé aux messages RA, RA Guard renforce la sécurité du réseau et garantit que seuls les routeurs légitimes peuvent annoncer les informations de configuration et de routage vers les appareils locaux.
Protection contre la redirection malveillante du trafic : En garantissant que les messages RA proviennent de sources fiables, RA Guard protège contre les attaques de l'homme du milieu et la redirection indésirable du trafic. Cela garantit que les appareils sur le réseau suivent les chemins de routage corrects et évite les failles de sécurité potentielles.
Configuration manuelle des routeurs autorisés : RA Guard permet aux administrateurs réseau de configurer manuellement les routeurs autorisés dans le tableau des routeurs autorisés. Cela donne un meilleur contrôle sur les routeurs qui peuvent envoyer des messages RA sur le réseau.

Inconvénients de l’utilisation de RA Guard

Paramètres additionnels: Le déploiement de RA Guard nécessite une configuration supplémentaire sur les périphériques réseau, tels que des commutateurs ou des points d'accès sans fil. Il peut s'agir d'un processus supplémentaire que les administrateurs réseau doivent effectuer pour activer et maintenir la fonctionnalité RA Guard.
Complexité: Certaines implémentations de RA Guard peuvent être complexes, en particulier sur des réseaux plus vastes et plus complexes. Cela peut nécessiter une compréhension plus approfondie de la configuration du réseau et de la gestion de la sécurité.

Impact possible sur la connectivité : Si la configuration de RA Guard n'est pas effectuée correctement, cela pourrait entraîner des problèmes de connectivité tels que le blocage des messages RA légitimes. Cela pourrait nuire au fonctionnement normal des appareils sur le réseau.

Certains scénarios du monde réel dans lesquels RA Guard peut être déployé incluent

Réseaux d'entreprises et d'entreprises

Dans les réseaux d’entreprise, RA Guard est utilisé pour protéger contre les attaques d’empoisonnement publicitaire des routeurs. Garantit que seuls les routeurs légitimes et autorisés peuvent envoyer des publicités de routeur aux appareils locaux, évitant ainsi le risque de redirection malveillante du trafic et renforçant la sécurité du réseau.

Réseaux de fournisseurs de services (FAI)

Les fournisseurs de services peuvent déployer RA Guard sur leurs réseaux pour protéger leurs clients contre les attaques d'empoisonnement publicitaire des routeurs. Cela garantit que les clients reçoivent uniquement les informations de configuration de routage provenant de routeurs légitimes et fiables.

Réseaux sans fil publics et points d'accès WiFi

Dans les environnements dotés de réseaux sans fil publics, tels que les aéroports, les hôtels ou les cafés, le déploiement de RA Guard sur les points d'accès WiFi contribue à protéger les utilisateurs contre les attaques potentielles d'empoisonnement publicitaire des routeurs. Cela améliore la sécurité des connexions et empêche les utilisateurs d'être redirigés vers des sites malveillants.

Réseaux académiques et éducatifs

Dans les établissements d'enseignement et universitaires, RA Guard peut être déployé pour protéger les réseaux et les appareils des étudiants et du personnel contre les attaques d'empoisonnement publicitaire des routeurs. Cela garantit que l’infrastructure réseau et les ressources partagées sont sûres et sécurisées.

Centre de données et réseaux cloud

Dans les environnements de centres de données et de cloud, RA Guard est utilisé pour protéger l'infrastructure réseau et les ressources des clients contre les attaques potentielles. Cela garantit l'intégrité du réseau et empêche toute manipulation malveillante des publicités du routeur.

Réseaux IoT (Internet des objets)

Dans les réseaux IoT, où de nombreux appareils communiquent automatiquement à l’aide du Neighbor Discovery Protocol (NDP), RA Guard est essentiel pour prévenir les attaques d’empoisonnement publicitaire des routeurs et garantir la sécurité des appareils et de l’ensemble du réseau.

Exemples de configuration

Examinons ensuite un exemple de la façon dont RA Guard pourrait être configuré sur un commutateur. Cisco Catalyst en utilisant le protocole IPv6 et le système d'exploitation IOS-XE :

				
					# Acceder al modo de configuración global
configure terminal

# Habilitar RA Guard en una interfaz específica (por ejemplo, GigabitEthernet0/1)
interface GigabitEthernet0/1
  ipv6 nd ra guard

# Opcionalmente, configurar el modo de operación de RA Guard
# El modo "strict" (predeterminado) bloqueará todos los paquetes RA entrantes no válidos.
# El modo "loose" permitirá anuncios RA entrantes si la interfaz está configurada para ser un router legítimo.
interface GigabitEthernet0/1
  ipv6 nd ra guard mode strict

# Salir del modo de configuración de la interfaz
exit

# Aplicar la configuración a la interfaz y guardar la configuración
end
write memory

Dans cet exemple, RA Guard est activé sur l'interface GigabitEthernet0/1. De plus, le mode de fonctionnement de RA Guard est défini sur « strict », ce qui signifie qu'il bloquera tous les paquets RA entrants qui ne sont pas valides, c'est-à-dire ceux qui ne proviennent pas d'un routeur légitime.

Il est important de noter que la configuration exacte peut varier en fonction du modèle et de la version du commutateur Cisco, ainsi que de la topologie spécifique du réseau. Il est également essentiel de s'assurer que les routeurs légitimes sont correctement configurés dans le tableau des routeurs autorisés pour éviter les problèmes de connectivité indésirables.

Il est toujours conseillé de tester et de vérifier le comportement du réseau après le déploiement de RA Guard pour s'assurer qu'il fonctionne comme prévu et n'a pas d'impact négatif sur le trafic légitime sur le réseau.