RA-Guard

RA-Guard (guardia della pubblicità del router) è una funzionalità di sicurezza di IPv6 che aiuta a proteggere dagli attacchi dei router falsificati e garantisce che solo gli annunci legittimi dei router vengano elaborati e accettati dai nodi della rete.

RA-Guard viene distribuito sui dispositivi di rete ed esamina i messaggi Router Advertisement (RA) per rilevare e bloccare annunci router non autorizzati o dannosi.

Quando RA-Guard è abilitato su un dispositivo di rete, analizza i messaggi RA ricevuti e confronta le informazioni in essi contenute con un elenco di router autorizzati. Se il messaggio RA non corrisponde ai router autorizzati o presenta caratteristiche sospette, il dispositivo può bloccare il messaggio RA, ignorarlo o intraprendere altre azioni di sicurezza definite nelle impostazioni.

Tecniche per identificare e bloccare

RA-Guard utilizza diverse tecniche per identificare e bloccare gli annunci router falsificati, tra cui:

Filtraggio delle fonti

RA-Guard controlla l'indirizzo di origine del messaggio RA e confronta questo indirizzo con l'elenco dei router autorizzati. Se l'indirizzo di origine non corrisponde, il messaggio RA potrebbe essere considerato non autorizzato e bloccato.

Ispezione delle opzioni RA

RA-Guard esamina le opzioni incluse nel messaggio RA per rilevare opzioni sospette o incompatibili con la configurazione prevista. Ad esempio, se vengono trovate opzioni impreviste o configurazioni errate, il messaggio RA potrebbe essere considerato non autorizzato.

Frequenza e modelli dei messaggi RA

RA-Guard può anche analizzare la frequenza e i modelli dei messaggi RA ricevuti. Se viene rilevato un numero elevato di messaggi RA in un breve periodo di tempo o se sono presenti modelli insoliti di messaggi RA, il dispositivo può intervenire per bloccare o limitare i messaggi sospetti.

L'implementazione di RA-Guard può variare a seconda del dispositivo e del produttore specifici. Alcuni dispositivi di rete hanno RA-Guard integrato come funzionalità nativa, mentre altri dispositivi potrebbero richiedere l'abilitazione e la configurazione esplicita di RA-Guard.

RA-Guard è una misura di sicurezza efficace per mitigare i rischi associati agli annunci pubblicitari falsificati dei router e proteggere la rete IPv6 da attacchi ai router non autorizzati. Abilitando RA-Guard, i nodi di rete possono fidarsi dei messaggi RA legittimi e garantire che i router di rete siano affidabili e autenticati.

DHCPv6 sicuro

DHCPv6 Secure è una funzionalità di sicurezza IPv6 che fornisce l'autenticazione e l'autorizzazione dei client DHCPv6. Consente di verificare l'identità dei client DHCPv6 e garantire che solo i client autorizzati possano ottenere indirizzi IPv6 e configurazioni di rete.

Ecco uno sguardo approfondito su come funziona. DHCPv6 sicuro:

Autenticazione del client DHCPv6

DHCPv6 Secure utilizza tecniche di autenticazione per verificare l'identità dei client DHCPv6. Si basa sull'utilizzo di certificati X.509 e firme digitali per autenticare i client. Ogni client DHCPv6 dispone di un certificato digitale univoco firmato da un'autorità di certificazione (CA) attendibile.

Autorizzazione client DHCPv6

Oltre all'autenticazione, DHCPv6 Secure consente anche l'autorizzazione del client. Ciò significa che non solo viene verificata l'identità del client, ma viene anche controllato se il client dispone delle autorizzazioni necessarie per ottenere un indirizzo IPv6 e le configurazioni di rete associate.

Interazione con l'infrastruttura a chiave pubblica (PKI)

DHCPv6 Secure si integra con un'infrastruttura a chiave pubblica (PKI) per gestire i certificati e le chiavi pubbliche e private necessarie per l'autenticazione e la firma digitale. Ciò comporta la configurazione di una CA interna o l'utilizzo di una CA esterna attendibile per emettere e gestire i certificati client DHCPv6.

Processo per ottenere indirizzi IPv6

Quando un client DHCPv6 inizia il processo per ottenere un indirizzo IPv6 e le impostazioni di rete, invia una richiesta DHCPv6 al server DHCPv6. Questa richiesta contiene le informazioni necessarie per l'autenticazione, come il certificato del client e la firma digitale.

Verifica del certificato e firma digitale

Il server DHCPv6 verifica il certificato del client e la sua firma digitale utilizzando l'infrastruttura a chiave pubblica (PKI) configurata. Verifica l'autenticità del certificato, assicurandosi che provenga dalla CA attendibile e non sia stato revocato. Controlla inoltre la validità della firma digitale per garantire che non sia stata modificata durante il transito.

Controllo dell'autorizzazione

Una volta autenticato con successo il client DHCPv6, il server DHCPv6 esegue un controllo di autorizzazione per verificare se il client dispone delle autorizzazioni necessarie per ottenere un indirizzo IPv6 e le impostazioni di rete associate. Questo si basa sulle politiche di autorizzazione definite sul server DHCPv6.

Assegnazione degli indirizzi IPv6 e configurazioni di rete

Se il client DHCPv6 è stato autenticato e autorizzato con successo, il server DHCPv6 assegna un indirizzo IPv6 e fornisce al client le configurazioni di rete corrispondenti. Queste impostazioni possono includere informazioni come la maschera di sottorete, il gateway predefinito, i server DNS e altri parametri di rete.

Rinnovo e verifica periodica

DHCPv6 Secure include anche meccanismi per rinnovare e verificare periodicamente gli indirizzi IPv6 e le configurazioni di rete assegnate ai client. Ciò garantisce che solo i client autorizzati possano mantenere e utilizzare nel tempo gli indirizzi e le impostazioni assegnati.

L'implementazione di DHCPv6 Secure richiede la corretta configurazione dell'infrastruttura a chiave pubblica (PKI), la generazione e la gestione dei certificati e la configurazione delle politiche di autenticazione e autorizzazione sul server DHCPv6. Ciascun client DHCPv6 deve disporre di un certificato valido e firmare digitalmente le proprie richieste DHCPv6 per essere autenticato correttamente dal server DHCPv6.