RA Guard é um recurso de segurança IPv6 que ajuda a proteger as redes contra ataques de roteamento. O RA Guard funciona bloqueando mensagens de solicitação de roteamento (RA) não autorizadas dos roteadores.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
As mensagens RA são usadas para fornecer informações de roteamento aos hosts, como o endereço padrão do roteador e as máscaras de sub-rede. O RA Guard ajuda a proteger as redes contra ataques de roteamento, bloqueando mensagens RA não autorizadas, o que pode ajudar a impedir que invasores assumam o controle do roteamento da rede.
O RA Guard pode ser habilitado em roteadores IPv6. Quando o RA Guard está habilitado, o roteador enviará mensagens RA apenas para hosts que estão em sua sub-rede. Mensagens RA de roteadores que não estão na sub-rede do host serão bloqueadas pelo RA Guard.
RA Guard é um importante recurso de segurança que pode ajudar a proteger as redes contra ataques de roteamento. O RA Guard deve ser habilitado em todos os roteadores IPv6 para fornecer proteção máxima.
Operação RA-Guard
Aqui está uma explicação detalhada de como o RA Guard funciona:
1. Descoberta de roteador
Quando os dispositivos ingressam em uma rede IPv6, eles usam o Neighbor Discovery Protocol (NDP) para descobrir os roteadores no segmento de rede. Os roteadores enviam periodicamente mensagens de anúncio de roteador (RA) para anunciar sua presença e fornecer informações de configuração de rede.
2. Proteção contra ataques de envenenamento de anúncios de roteador
Um invasor pode tentar enviar mensagens RA falsificadas, fazendo-se passar por um roteador legítimo. Para evitar isso, switches ou pontos de acesso sem fio que suportam o RA Guard inspecionam as mensagens RA recebidas e verificam se elas vêm de uma fonte legítima.
3. Tabela de roteadores permitidos
LOs switches ou pontos de acesso sem fio que implementam o RA Guard mantêm uma tabela de roteadores permitidos que contém os endereços IPv6 e as interfaces MAC dos roteadores autorizados. Esses roteadores legítimos são aqueles que foram configurados manualmente ou descobertos por meio de outros métodos seguros de configuração automática de rede.
4. Rejeição de mensagens RA não autorizadas
Quando um switch ou ponto de acesso recebe uma mensagem RA, ele verifica se o remetente (roteador) está na tabela de roteadores permitidos. Se o roteador não estiver na tabela, a mensagem RA é considerada não autorizada e descartada. Isto garante que apenas roteadores legítimos possam enviar mensagens RA para a rede.
Dicas para ativar o RA Guard
- Consulte a documentação do seu roteador para obter instruções sobre como ativar o RA Guard.
- Certifique-se de ativar o RA Guard em todos os roteadores da sua rede.
- Crie uma política de segurança para o RA Guard e certifique-se de que ela a cumpra.
- Monitore sua rede em busca de quaisquer sinais de atividades suspeitas.
Vantagens de usar o RA Guard
- Proteção contra ataques de envenenamento de anúncios de roteador: A principal vantagem do RA Guard é que ele protege a rede contra ataques de envenenamento de anúncios de roteadores. Ao verificar a autenticidade das mensagens recebidas de Router Advertisement (RA), o RA Guard evita que roteadores não autorizados enviem anúncios falsificados que poderiam redirecionar o tráfego para rotas maliciosas ou desviar o tráfego para destinos indesejados.
- Melhora a segurança da rede IPv6: Ao impedir o acesso não autorizado às mensagens RA, o RA Guard fortalece a segurança da rede e garante que apenas roteadores legítimos possam anunciar informações de configuração e roteamento para dispositivos locais.
- Proteção contra redirecionamento de tráfego malicioso: Ao garantir que as mensagens RA venham de fontes confiáveis, o RA Guard protege contra ataques man-in-the-middle e redirecionamento de tráfego indesejado. Isso garante que os dispositivos na rede sigam os caminhos de roteamento corretos e evita possíveis vulnerabilidades de segurança.
- Configuração manual de roteadores permitidos: O RA Guard permite que os administradores de rede configurem manualmente os roteadores permitidos na tabela de roteadores autorizados. Isto proporciona maior controle sobre quais roteadores podem enviar mensagens RA na rede.
Desvantagens de usar o RA Guard
- Configurações adicionais: A implantação do RA Guard requer configuração adicional em dispositivos de rede, como switches ou pontos de acesso sem fio. Este pode ser um processo adicional que os administradores de rede devem executar para ativar e manter a funcionalidade do RA Guard.
- Complexidade: Algumas implementações do RA Guard podem ser complexas, especialmente em redes maiores e mais complexas. Isto pode exigir uma compreensão mais profunda da configuração da rede e do gerenciamento de segurança.
Possível impacto na conectividade: Se a configuração do RA Guard não for feita corretamente, poderá causar problemas de conectividade, como o bloqueio de mensagens RA legítimas. Isto pode afetar negativamente o funcionamento normal dos dispositivos na rede.
Alguns cenários do mundo real onde o RA Guard pode ser implantado incluem
Redes empresariais e corporativas
Em redes corporativas, o RA Guard é usado para proteger contra ataques de envenenamento de anúncios de roteadores. Garante que apenas roteadores legítimos e autorizados possam enviar anúncios de roteadores para dispositivos locais, evitando o risco de redirecionamento de tráfego malicioso e fortalecendo a segurança da rede.
Redes de provedores de serviços (ISP)
Os provedores de serviços podem implantar o RA Guard em suas redes para proteger seus clientes contra ataques de envenenamento de anúncios em roteadores. Isso garante que os clientes recebam apenas informações de configuração de roteamento de roteadores legítimos e confiáveis.
Redes sem fio públicas e pontos de acesso WiFi
Em ambientes com redes sem fio públicas, como aeroportos, hotéis ou cafés, a implantação do RA Guard em pontos de acesso WiFi ajuda a proteger os usuários contra possíveis ataques de envenenamento de anúncios em roteadores. Isso melhora a segurança da conexão e evita que os usuários sejam redirecionados para sites maliciosos.
Redes acadêmicas e educacionais
Em instituições educacionais e acadêmicas, o RA Guard pode ser implantado para proteger as redes e dispositivos de alunos e funcionários contra ataques de envenenamento de anúncios de roteadores. Isso garante que a infraestrutura de rede e os recursos compartilhados estejam seguros e protegidos.
Data center e redes em nuvem
Em ambientes de data center e nuvem, o RA Guard é usado para proteger a infraestrutura de rede e os recursos do cliente contra possíveis ataques. Isso garante a integridade da rede e evita a manipulação maliciosa de anúncios de roteadores.
Redes IoT (Internet das Coisas)
Em redes IoT, onde muitos dispositivos se comunicam automaticamente usando o Neighbour Discovery Protocol (NDP), o RA Guard é essencial para evitar ataques de envenenamento de anúncios de roteadores e garantir a segurança dos dispositivos e da rede geral.
Exemplos de configuração
A seguir, vejamos um exemplo de como o RA Guard pode ser configurado em um switch Catalisador Cisco usando o protocolo IPv6 e o sistema operacional IOS-XE:
# Acceder al modo de configuración global
configure terminal
# Habilitar RA Guard en una interfaz específica (por ejemplo, GigabitEthernet0/1)
interface GigabitEthernet0/1
ipv6 nd ra guard
# Opcionalmente, configurar el modo de operación de RA Guard
# El modo "strict" (predeterminado) bloqueará todos los paquetes RA entrantes no válidos.
# El modo "loose" permitirá anuncios RA entrantes si la interfaz está configurada para ser un router legítimo.
interface GigabitEthernet0/1
ipv6 nd ra guard mode strict
# Salir del modo de configuración de la interfaz
exit
# Aplicar la configuración a la interfaz y guardar la configuración
end
write memory
Neste exemplo, o RA Guard está habilitado na interface GigabitEthernet0/1. Além disso, o modo de operação do RA Guard está definido como “estrito”, o que significa que bloqueará todos os pacotes RA de entrada que não sejam válidos, ou seja, aqueles que não vêm de um roteador legítimo.
É importante observar que a configuração exata pode variar dependendo do modelo e versão do switch Cisco, bem como da topologia de rede específica. Também é essencial garantir que os roteadores legítimos estejam configurados corretamente na tabela de roteadores permitidos para evitar problemas de conectividade indesejados.
É sempre aconselhável testar e verificar o comportamento da rede após a implantação do RA Guard para garantir que funcione conforme esperado e não impacte negativamente o tráfego legítimo na rede.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro IPv6 com MikroTik, RouterOS v7
Material de estudo do Curso de Certificação MTCIPv6E atualizado para RouterOS v7