Behoud van de status van de buurt

Buurtstatusonderhoud in IPv6 verwijst naar het proces waarbij knooppunten in een IPv6-netwerk informatie over de buren op het netwerk blijven monitoren en bijwerken.

Dit proces zorgt ervoor dat de buurtabel van elk knooppunt up-to-date is en nauwkeurig de IPv6-adressen en MAC-adressen van bekende buren weergeeft.

Hieronder vindt u een gedetailleerde uitleg van hoe buurtstaatonderhoud werkt in IPv6:

Bewaking van connectiviteit

• Elk knooppunt controleert periodiek de connectiviteit met zijn buren om er zeker van te zijn dat ze nog steeds actief en bereikbaar zijn.
• Dit wordt bereikt door burenverzoekberichten naar de IPv6-adressen van buren te sturen en te wachten op reacties op burenadvertenties.

Update van de buurtabel

• Wanneer een knooppunt een buuradvertentiebericht ontvangt, werkt het zijn buurtabel bij met het IPv6-adres en MAC-adres van de overeenkomstige buur.
• Als er een verandering in de buurinformatie wordt gedetecteerd, zoals een verandering in het MAC-adres of een nieuw IPv6-adres, wordt de buurtabel bijgewerkt met de nieuwste informatie.

Detectie van onbereikbare buren

• Als een knooppunt geen antwoorden meer ontvangt op buurverzoeken die naar een specifiek IPv6-adres zijn verzonden, markeert het de corresponderende buur als onbereikbaar in zijn buurtabel.
• Door deze detectie van onbereikbare buren kunnen knooppunten snel hun buurtinformatie bijwerken en zich aanpassen aan veranderingen in het netwerk.

Willekeurige vertraging in burenverzoekberichten

• Om te voorkomen dat het netwerk overbelast raakt door gelijktijdige Neighbour Solicitation-berichten, introduceren knooppunten een willekeurige vertraging voordat verzoeken worden verzonden.
• Deze willekeurige vertraging helpt verzoeken in de loop van de tijd te verdelen en vermindert de kans op botsingen en netwerkcongestie.

Verlopen van bureninvoer

• Elke vermelding in de buurtabel van een knooppunt heeft een bijbehorende levensduur.
• Als een knooppunt gedurende een bepaalde periode geen buurupdates ontvangt, wordt de invoer als verlopen beschouwd en uit de buurtabel verwijderd.
• Dit zorgt ervoor dat de burentabel actueel blijft en alleen informatie bevat over actieve en bereikbare buren.

Standaardroutedetectie

Het ontdekken van standaardroutes in IPv6 is een proces waarbij knooppunten de route bepalen die moet worden gevolgd om pakketten buiten het lokale netwerk te verzenden. Dit omvat het identificeren en configureren van de standaardroute die moet worden gebruikt wanneer er geen specifieke route is gespecificeerd voor een bepaalde bestemming.

De standaardbewerking voor routedetectie is als volgt:

Router-advertenties

• Routers op het netwerk verzenden periodiek 'Router Advertenties'-berichten via het multicast-adres 'All-Routers'.
• Deze berichten bevatten informatie die relevant is voor de configuratie van de knooppunten, inclusief de aanduiding van de standaardroute.

Standaard route-aanduiding

• Routeraankondigingsberichten kunnen een optie bevatten met de naam 'Standaardroute', die het volgende hopadres of de uitgaande link specificeert voor pakketten die geen specifieke route hebben.

Routeraankondigingsberichten verwerken

• Wanneer een knooppunt een Router Advertising-bericht ontvangt, controleert het of er een standaardrouteoptie bestaat.
• Als er een standaardrouteoptie wordt gevonden, configureert het knooppunt zijn routeringstabel zo dat deze de standaardroute bevat die in het bericht is opgegeven.

De standaardroute selecteren

• Als er meerdere standaardrouteopties zijn in routeraankondigingsberichten, moet het knooppunt er één selecteren.
• Het selectieproces kan gebaseerd zijn op verschillende criteria, zoals de prioriteit van de reclamerouter of de kwaliteit van de verbinding.

Update van de routeringstabel

• Zodra een standaardroute is geselecteerd, werkt het knooppunt zijn routeringstabel bij met de bijbehorende informatie.
• Deze tabel bevat het bestemmingsadres van de standaardroute en het adres van de bijbehorende volgende hop of uitgaande link.

Pakketroutering

• Wanneer een knooppunt een pakket buiten het lokale netwerk moet verzenden en geen specifieke route heeft, gebruikt het de standaardroute die in zijn routeringstabel is geconfigureerd.
• Het pakket wordt naar de volgende hop verzonden of rechtstreeks naar de uitgaande link verzonden, zoals gespecificeerd in de standaardroute.

Dankzij de standaardroutedetectie in IPv6 kunnen knooppunten automatisch de route bepalen die moet worden gevolgd om pakketten buiten het lokale netwerk te verzenden. Bij het ontvangen en verwerken van Router Advertising-berichten configureren knooppunten hun routeringstabel met de juiste standaardroute, waardoor een efficiënte en correcte routering van pakketten in het IPv6-netwerk wordt gegarandeerd.

Bescherming tegen spoofing-aanvallen

Bescherming tegen spoofing-aanvallen in IPv6 is een belangrijk aspect om de communicatiebeveiliging te garanderen en te voorkomen dat een kwaadaardig knooppunt zich voordoet als een ander knooppunt op het netwerk.

Hier volgen enkele algemene beschermingsmaatregelen tegen spoofing-aanvallen in IPv6:

MAC-adresfiltering

• MAC-adresfiltering omvat het configureren van netwerkapparaten om alleen communicatie met specifieke MAC-adressen toe te staan.
• Dit voorkomt dat ongeautoriseerde knooppunten verbinding maken of communiceren via het netwerk.

Juiste Neighbour Discovery Protocol (NDP)-configuratie

• Het Neighbor Discovery Protocol (NDP) in IPv6 biedt mechanismen voor het ontdekken en onderhouden van buren op het netwerk.
• Het is belangrijk om NDP goed te configureren om spoofing-aanvallen te voorkomen, zoals het beperken van de acceptatie van burenaankondigingsberichten tot alleen geautoriseerde routers.

NDP-berichtverificatie

• Om NDP verder te beschermen tegen spoofing-aanvallen, kan NDP-berichtauthenticatie worden geïmplementeerd.
• Hierbij wordt gebruik gemaakt van cryptografische technieken, zoals digitale handtekeningen, om ervoor te zorgen dat NDP-berichten afkomstig zijn van vertrouwde bronnen en tijdens de verzending niet zijn gewijzigd.

Implementatie van Secure Neighbor Discovery (SEND).

• Het Secure Neighbour Discovery (SEND)-protocol is een beveiligingsuitbreiding op NDP in IPv6.
• SEND biedt authenticatie- en beschermingsmechanismen voor NDP-berichten, helpt spoofing-aanvallen te voorkomen en de integriteit en authenticiteit van communicatie te garanderen.

IPv6 via VPN gebruiken

• Het gebruik van IPv6 via VPN kan een extra beveiligingslaag bieden door IPv6-verkeer over een beveiligde verbinding te routeren.
• Dit helpt IPv6-communicatie te beschermen tegen mogelijke spoofing-aanvallen door verkeer te coderen en VPN-verbindingen te authenticeren.

Implementatie van beveiligingsbeleid op netwerkapparaten

• Het configureren en toepassen van beveiligingsbeleid op netwerkapparaten, zoals firewalls en inbraakpreventiesystemen, helpt bij het detecteren en blokkeren van kwaadaardige activiteiten op het IPv6-netwerk.
• Dit beleid kan pakketinspectie, detectie van afwijkingen en het voorkomen van bekende spoofing-aanvallen omvatten.