Protocolo de descoberta de vizinho seguro IPv6 (SEND)
O protocolo de descoberta de vizinho seguro (ENVIAR: Protocolo de descoberta de vizinho seguro) é um protocolo desenvolvido para melhorar a segurança no processo de descoberta e resolução de endereços IPv6 em redes locais.
ENVIAR é baseado no Protocolo de descoberta de vizinho (NDP) do IPv6 e fornece autenticação e proteção de integridade de mensagens de descoberta de vizinhos.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
O principal objetivo do SEND é prevenir ataques de falsificação e envenenamento de cache, comuns em redes IPv6. Esses ataques podem permitir que um invasor redirecione tráfego legítimo ou intercepte informações confidenciais. SEND usa criptografia e assinaturas digitais para verificar a identidade dos vizinhos e garantir a autenticidade das mensagens de descoberta de vizinhos.
A operação de SEND envolve os seguintes componentes:
Certificados vizinhos
SEND usa certificados X.509 para autenticar a identidade dos vizinhos. Cada vizinho deve obter um certificado assinado por uma autoridade de certificação (CA) confiável. Esses certificados contêm as informações necessárias para verificar a identidade e autenticidade do vizinho.
Mensagens seguras de solicitação e resposta de vizinhos
SEND usa mensagens seguras de solicitação e resposta de vizinhos para realizar a descoberta de vizinhos com segurança. Essas mensagens são protegidas por criptografia e assinaturas digitais. O vizinho solicitante inclui seu certificado na mensagem de solicitação e o vizinho alvo responde com seu certificado e uma assinatura digital.
Processo de verificação
Quando um vizinho recebe uma mensagem segura de descoberta de vizinho, ele verifica a autenticidade e integridade da mensagem usando as informações do certificado e a assinatura digital. Se a verificação for bem-sucedida, o vizinho considera o vizinho remoto autêntico e confiável.
Detecção de alterações na topologia da rede
SEND fornece funcionalidade adicional para detectar alterações na topologia da rede. Se um vizinho detectar mudanças significativas no seu ambiente de rede, como o aparecimento de novos vizinhos ou a ausência de vizinhos existentes, ele poderá enviar mensagens de notificação a outros vizinhos para informá-los da situação.
Atualização de cache vizinho
Se um vizinho receber uma resposta de vizinho seguro e verificá-la com êxito, ele atualizará o cache do vizinho com o endereço IPv6 e as informações autenticadas do vizinho. Isto evita a possível inserção de informações falsas no cache vizinho e ajuda a garantir o caminho correto para comunicações.
Requisitos de infraestrutura de chave pública (PKI)
A implementação do SEND requer uma infraestrutura de chave pública (PKI) para gerenciar e validar os certificados usados no processo de autenticação. Isso envolve configurar e manter uma autoridade de certificação (CA) confiável que emite e assina certificados vizinhos.
Suporte à política de segurança
SEND permite a configuração de políticas de segurança específicas para controlar o comportamento dos vizinhos e as ações que devem ser tomadas em diferentes situações. Estas políticas podem abordar aspectos como a aceitação ou rejeição de determinados certificados, o tratamento de mensagens de notificação e as ações a tomar em caso de eventos de segurança.
Considerações de implantação
A implantação do SEND requer planejamento adequado, especialmente em redes grandes e complexas. Os administradores de rede devem considerar o desempenho da rede, o gerenciamento de certificados, a configuração de políticas de segurança e a compatibilidade com dispositivos e sistemas existentes.
Proteção contra ataques de envenenamento de cache
O envenenamento de cache é um tipo de ataque no qual um invasor tenta corromper ou modificar informações armazenadas no cache vizinho de um nó. SEND ajuda a proteger contra esses ataques autenticando e verificando a identidade dos vizinhos antes de atualizar o cache do vizinho com novas informações.
Considerações de desempenho
A implementação do SEND pode ter impacto no desempenho da rede devido à necessidade de processar e verificar certificados, bem como assinar e verificar mensagens. Os administradores de rede devem avaliar o compromisso entre segurança e desempenho para determinar se a implementação do SEND é apropriada para o seu ambiente.
Integração com outras tecnologias de segurança
SEND pode ser usado em conjunto com outras tecnologias de segurança em IPv6, como IPSec. A combinação de SEND e IPSec proporciona uma camada adicional de proteção para comunicação em redes IPv6, garantindo tanto a autenticação dos vizinhos quanto a confidencialidade e integridade dos dados transmitidos.
Benefícios para a mobilidade IPv6
SEND também oferece benefícios para mobilidade em redes IPv6. Ao usar autenticação e verificação de certificado no processo de descoberta de vizinhos, o SEND ajuda a garantir que os nós móveis se conectem aos vizinhos corretos e evita que invasores interceptem o tráfego ou redirecionem a comunicação.
SEND é especialmente útil em ambientes onde a autenticação de vizinhos e a proteção contra ataques de falsificação são importantes, como redes corporativas e provedores de serviços. Contudo, a implementação do SEND pode exigir uma infra-estrutura de chave pública (PKI) e cooperação entre administradores de rede para estabelecer políticas de segurança apropriadas.
É importante ressaltar que o SEND não resolve todos os problemas de segurança no IPv6, mas fornece uma camada adicional de proteção para o processo de descoberta de vizinhos. Além disso, a sua implementação é opcional e depende das necessidades e requisitos de segurança específicos de cada rede.
Etapas e considerações
A implementação do protocolo Safe Neighbour Discovery (SEND) envolve uma série de etapas e considerações. Abaixo estão as etapas gerais para implementar SEND em uma rede IPv6:
- Avaliação de requisitos de segurança
- Configurando uma infraestrutura de chave pública (PKI)
- Geração e distribuição de certificados
- Configuração da política de segurança
- Implementação em dispositivos de rede
- Teste e verificação
Monitoramento e manutenção
RA-Guarda
RA-Guard (guarda de publicidade do roteador) é um recurso de segurança do IPv6 que ajuda a proteger contra ataques de roteadores falsificados e garante que apenas anúncios de roteadores legítimos sejam processados e aceitos pelos nós da rede.
O RA-Guard é implantado em dispositivos de rede e examina mensagens de anúncio de roteador (RA) para detectar e bloquear anúncios de roteador não autorizados ou maliciosos.
Quando o RA-Guard está habilitado em um dispositivo de rede, ele analisa as mensagens RA recebidas e compara as informações contidas nelas com uma lista de roteadores autorizados. Se a mensagem RA não corresponder aos roteadores autorizados ou exibir características suspeitas, o dispositivo poderá bloquear a mensagem RA, ignorá-la ou tomar outras ações de segurança definidas nas configurações.
Técnicas para identificar e bloquear
RA-Guard usa diversas técnicas para identificar e bloquear anúncios falsificados de roteadores, incluindo:
Filtragem de origem
O RA-Guard verifica o endereço de origem da mensagem RA e compara esse endereço com a lista de roteadores autorizados. Se o endereço de origem não corresponder, a mensagem RA poderá ser considerada não autorizada e bloqueada.
Inspeção de opções de RA
O RA-Guard examina as opções incluídas na mensagem RA para detectar opções suspeitas ou incompatíveis com a configuração esperada. Por exemplo, se forem encontradas opções inesperadas ou configurações incorretas, a mensagem RA poderá ser considerada não autorizada.
Frequência e padrões de mensagens RA
O RA-Guard também pode analisar a frequência e os padrões das mensagens RA recebidas. Se um grande número de mensagens RA for detectado em um curto período de tempo ou se houver padrões incomuns de mensagens RA, o dispositivo poderá tomar medidas para bloquear ou limitar mensagens suspeitas.
A implementação do RA-Guard pode variar dependendo do dispositivo e fabricante específicos. Alguns dispositivos de rede possuem o RA-Guard integrado como funcionalidade nativa, enquanto outros dispositivos podem exigir que você habilite e configure o RA-Guard explicitamente.
RA-Guard é uma medida de segurança eficaz para mitigar os riscos associados a anúncios falsificados de roteadores e proteger a rede IPv6 contra ataques não autorizados de roteadores. Ao ativar o RA-Guard, os nós da rede podem confiar em mensagens RA legítimas e garantir que os roteadores da rede sejam confiáveis e autenticados.
DHCPv6 seguro
DHCPv6 Secure é um recurso de segurança IPv6 que fornece autenticação e autorização de clientes DHCPv6. Permite verificar a identidade de clientes DHCPv6 e garantir que somente clientes autorizados possam obter endereços IPv6 e configurações de rede.
Aqui está uma visão detalhada de como isso funciona. DHCPv6 seguro:
Autenticação de cliente DHCPv6
DHCPv6 Secure usa técnicas de autenticação para verificar a identidade de clientes DHCPv6. Baseia-se no uso de certificados X.509 e assinaturas digitais para autenticar clientes. Cada cliente DHCPv6 possui um certificado digital exclusivo assinado por uma autoridade de certificação (CA) confiável.
Autorização de cliente DHCPv6
Além da autenticação, o DHCPv6 Secure também permite a autorização do cliente. Isso significa que não apenas a identidade do cliente é verificada, mas também se o cliente possui as permissões necessárias para obter um endereço IPv6 e as configurações de rede associadas.
Interação com infraestrutura de chave pública (PKI)
O DHCPv6 Secure integra-se a uma infraestrutura de chave pública (PKI) para gerenciar certificados e chaves públicas e privadas necessárias para autenticação e assinatura digital. Isso envolve configurar uma CA interna ou usar uma CA confiável externa para emitir e gerenciar certificados de cliente DHCPv6.
Processo de obtenção de endereços IPv6
Quando um cliente DHCPv6 inicia o processo de obtenção de um endereço IPv6 e configurações de rede, ele envia uma solicitação DHCPv6 ao servidor DHCPv6. Esta solicitação contém as informações necessárias para autenticação, como certificado e assinatura digital do cliente.
Verificação de certificado e assinatura digital
O servidor DHCPv6 verifica o certificado do cliente e sua assinatura digital usando a infraestrutura de chave pública (PKI) configurada. Verifica a autenticidade do certificado, garantindo que ele veio da CA confiável e não foi revogado. Também verifica a validade da assinatura digital para garantir que ela não foi modificada durante o transporte.
Verificação de autorização
Depois que o cliente DHCPv6 for autenticado com êxito, o servidor DHCPv6 realizará uma verificação de autorização para verificar se o cliente possui as permissões necessárias para obter um endereço IPv6 e as configurações de rede associadas. Isto se baseia nas políticas de autorização definidas no servidor DHCPv6.
Atribuição de endereços IPv6 e configurações de rede
Se o cliente DHCPv6 tiver sido autenticado e autorizado com êxito, o servidor DHCPv6 atribuirá um endereço IPv6 e fornecerá as configurações de rede correspondentes ao cliente. Essas configurações podem incluir informações como máscara de sub-rede, gateway padrão, servidores DNS e outros parâmetros de rede.
Renovação e verificação periódica
O DHCPv6 Secure também inclui mecanismos para renovar e verificar periodicamente endereços IPv6 e configurações de rede atribuídos aos clientes. Isso garante que apenas clientes autorizados possam manter e usar os endereços e configurações atribuídos ao longo do tempo.
A implantação do DHCPv6 Secure requer configuração adequada da infraestrutura de chave pública (PKI), geração e gerenciamento de certificados e configuração de políticas de autenticação e autorização no servidor DHCPv6. Cada cliente DHCPv6 deve ter um certificado válido e assinar digitalmente suas solicitações DHCPv6 para serem devidamente autenticados pelo servidor DHCPv6.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro IPv6 com MikroTik, RouterOS v7
Material de estudo do Curso de Certificação MTCIPv6E atualizado para RouterOS v7