it-swarm-ja.com

IPv6でARPがNDPに置き換えられたのはなぜですか?

ARPはNDP(近隣探索プロトコル)に置き換えられました。しかし、その正確な理由はわかりません。

  • ARPにセキュリティ上の問題はありますか?
  • なぜARPがNDPに置き換えられたのでしょうか。
  • ARPの利点は何ですか?

誰もが簡単にこれを説明できますか?

46
Ganeshgm7

ARPにセキュリティ上の問題はありますか?

はい。ここにあるいくつかの:

  • ARPスプーフィング.

    偽のARPメッセージはLAN経由で送信されるため、攻撃者のMACアドレスとネットワーク上の正当なコンピュータまたはサーバーのIPアドレスとのリンクが発生します。

    ARPスプーフィング/ポイズニングの詳細については、以下を参照してください。

  • MACフラッディング.

    どのMACアドレスがどの物理ポートにあるかを追跡する変換テーブルには、限られた量のメモリしかありません。これにより、変換テーブルをフラッディングすることでスイッチを悪用することができます。過剰なデータを処理する方法を知らないプリミティブスイッチは、「フェールオープン」し、すべてのネットワークフレームをすべてのポートにブロードキャストします。

  • MACの複製.

    MAC複製攻撃では、2つのポートが同じMACアドレスを持っているとスイッチが混同します。データは両方のポートに転送されるため、IP転送は不要です。

送信元 TCP/IPアドレス解決プロトコル(ARP)のセキュリティ


なぜARPがNDPに置き換えられたのですか?

IPv6の改善と追加機能を提供します。

NDPとプロトコルAddress Resolution Protocol [ARP]、ICMP Router Discovery [RDISC]、およびICMP Redirect [ICMPv4]の比較については、以下を参照してください。


NDPはARPスプーフィング/中毒に対してどのように防御しますか?

Secure Neighbor Discovery(SEND)プロトコルを使用します。暗号的に生成されたアドレスは、NDPメッセージの要求された送信元が要求されたアドレスの所有者であることを保証します。

IPv6近隣探索プロトコル(NDP)の機能の1つは、ネットワーク層(IP)アドレスをリンク層(例えば、イーサネット)アドレスに解決することです。これは、IPv4でアドレス解決プロトコル(ARP)によって実行される機能です。セキュアネイバー探索(SEND)プロトコルは、ブロードキャストセグメントにアクセスする攻撃者がNDPまたはARPを悪用して、他人宛ての攻撃者トラフィックを送信するようにホストを悪用することを防ぎます。これはARPポイズニングと呼ばれます。

ARP中毒やNDP機能に対するその他の攻撃から保護するために、ブロードキャストセグメントへのアクセスを妨げることが不可能な場合があるところにSENDを配置する必要があります。

SENDは、RSA鍵ペアを使用して、RFC 3972のCryptographically Generated Addresses(CGA)で定義されているように、暗号的に生成されたアドレスを生成します。これにより、NDPメッセージの要求された送信元が、要求されたアドレスの所有者になります。

送信元 セキュアIPv6近隣探索を設定する


ARPスプーフィングはどのように機能しますか?

ARPスプーフィングは、ARP Poison Routing(APR)またはARP Cache Poisoningとも呼ばれます。

ARPスプーフィングは、悪意のある行為者が偽のARP(Address Resolution Protocol)メッセージをローカルエリアネットワーク経由で送信するタイプの攻撃です。これにより、攻撃者のMACアドレスがネットワーク上の正当なコンピュータまたはサーバーのIPアドレスとリンクされます。

攻撃者のMACアドレスが本物のIPアドレスに接続されると、攻撃者はそのIPアドレスを対象としたデータの受信を開始します。

ARPスプーフィングは、悪意のある当事者が送信中のデータを傍受、変更、さらには停止することを可能にします。 ARPスプーフィング攻撃は、アドレス解決プロトコルを利用するローカルエリアネットワークでのみ発生する可能性があります。

送信元ベラコード ARPスプーフィング


ARP Spoofing Attackはどのように機能しますか?

ARPスプーフィング攻撃へのステップは通常含まれています:

  1. 攻撃者はARPスプーフィングツールを開き、そのツールのIPアドレスをターゲットのIPサブネットと一致するように設定します。一般的なARPスプーフィングソフトウェアの例には、Arpspoof、Cain&Abel、Arpoison、およびEttercapが含まれます。

  2. 攻撃者はARPスプーフィングツールを使用して、ターゲットのサブネット内のホストのIPアドレスとMACアドレスをスキャンします。

  3. 攻撃者はターゲットを選択し、攻撃者のMACアドレスとターゲットのIPアドレスを含むARPパケットをLAN経由で送信し始めます。

  4. LAN上の他のホストがなりすましたARPパケットをキャッシュするので、それらのホストが被害者に送信するデータは代わりに攻撃者に送られます。ここから、攻撃者はデータを盗むことも、より洗練された追跡攻撃を仕掛けることもできます。

送信元ベラコード ARPスプーフィング

攻撃者は、パケットを検査する(スパイする)一方、トラフィックを実際のデフォルトゲートウェイに転送して発見を回避する、転送する前にデータを変更する(中間者攻撃)、またはサービス拒否攻撃を仕掛けることを選択できます。ネットワーク上のパケットの一部または全部をドロップすることによって攻撃する。

ソースウィキペディア ARPスプーフィング


(NDPの)IPv4との比較

IPv6 Neighbor Discoveryプロトコルは、IPv4プロトコルAddress Resolution Protocol [ARP]、ICMP Router Discovery [RDISC]、およびICMP Redirect [ICMPv4]の組み合わせに対応しています。

IPv4では、Hosts Requirements文書[HR-CL]がデッドゲートウェイ検出のためのいくつかの可能なアルゴリズム(近隣到達不能検出が取り組む問題のサブセット)を指定しているが、一般に合意された近隣到達不能検出のためのプロトコルまたはメカニズムはない。

近隣探索プロトコルは、プロトコルのIPv4セットに対して多数の改善を提供します。

  • ルーター発見は基本プロトコルセットの一部です。ホストがルーティングプロトコルを「スヌープ」する必要はありません。

  • ルーターアドバタイズメントはリンク層アドレスを運びます。ルータのリンクレイヤアドレスを解決するために追加のパケット交換は必要ありません。

  • ルータ広告はリンクのための接頭辞を運びます。 「ネットマスク」を設定するために別のメカニズムを用意する必要はありません。

  • ルーター通知はアドレス自動設定を有効にします。

  • ルータは、リンクで使用するホスト用のMTUをアドバタイズすることができます。これにより、すべてのノードが明確に定義されたMTUを欠いているリンクで同じMTU値を使用するようになります。

  • アドレス解決マルチキャストは、1600万(2 ^ 24)個のマルチキャストアドレスに「拡散」しているため、ターゲット以外のノードでのアドレス解決関連の割り込みが大幅に減少します。さらに、非IPv6マシンはまったく中断されるべきではありません。

  • リダイレクトには、新しい最初のホップのリンク層アドレスが含まれています。リダイレクトを受信したときに、個別のアドレス解決は必要ありません。

  • 同じリンクに複数のプレフィックスを関連付けることができます。デフォルトでは、ホストはルータアドバタイズメントからすべてのリンク上のプレフィックスを学習します。しかしながら、ルータはRouter Advertisementsからいくつかかすべての接頭語を省略するように構成されるかもしれません。このような場合、ホストは宛先がオフリンクであると想定し、トラフィックをルータに送信します。その後、ルータは必要に応じてリダイレクトを発行できます。

  • IPv4とは異なり、IPv6リダイレクトの受信者は、新しいネクストホップがリンク上にあると見なします。 IPv4では、ホストはリンクのネットワークマスクに従って、リンク上にないネクストホップを指定するリダイレクトを無視します。 IPv6リダイレクトメカニズムは、[SH-MEDIA]で規定されているXRedirect機能に似ています。ノードがリンク上の宛先のすべてのプレフィックスを知ることが望ましくないか不可能である、非ブロードキャストおよび共有メディアリンクに役立つことが期待されます。

  • ネイバー到達不能検出はベースの一部であり、障害のあるルータ、部分的に障害のある、または分割されたリンク、またはリンクレイヤアドレスを変更するノードが存在する場合のパケット配信の堅牢性を大幅に向上させます。たとえば、古くなったARPキャッシュによって接続性を失うことなく、モバイルノードがリンクを外れることがあります。

  • ARPとは異なり、近隣探索は(近隣到達不能検出を使用して)ハーフリンク障害を検出し、双方向接続が存在しない近隣へのトラフィック送信を回避します。

  • IPv4ルーター発見とは異なり、ルーターアドバタイズメッセージには優先フィールドは含まれていません。好みの分野は異なった "安定性"のルータを扱うのに必要ではありません; Neighbor Unreachability Detectionは、機能していないルータを検出し、機能しているルータに切り替えます。

  • リンクローカルアドレスを使用してルーターを一意に識別すること(ルーターアドバタイズメントおよびリダイレクトメッセージ用)を使用すると、サイトで新しいグローバルプレフィックスを使用するために番号を付け直す場合に、ホストがルーターの関連付けを維持できます。

  • ホップ制限を255に設定することにより、近隣探索は、誤ってまたは意図的にNDメッセージを送信するオフリンク送信者に対して免疫があります。 IPv4では、オフリンク送信者はICMPリダイレクトメッセージとルーター広告メッセージの両方を送信できます。

  • ICMPレイヤにアドレス解決を配置すると、プロトコルはARPよりもメディアに依存しなくなり、必要に応じて一般的なIPレイヤ認証およびセキュリティメカニズムを使用できるようになります。

IPv6での送信元 RFC 4861近隣探索


参考文献

62
DavidPostill

NDPは、ARPよりも多くの機能があります。

  • NDPを介して、ネットワーク上のデバイスはMAC /リンク層アドレスを決定できます(ARPと同じ機能)。

  • NDPを使用すると、ネットワーク上のデバイスは外部ネットワーク内の別のデバイスに到達するためのパスを特定し、宛先デバイスへの最適なルータを特定できます。

  • NDPはIPv6アドレスの自動設定を可能にします。

ARPと比較すると、メカニズムは異なります。

ARPはブロードキャストメッセージを使用し、NDPはマルチキャストICMPv6メッセージを使用します。

デバイスは「近隣要請ICMPメッセージ」またはNSと呼ばれるマルチキャストメッセージを送信します。宛先デバイスは、「Neighbor Advertisement ICMPメッセージ」またはNAで応答します。

NSメッセージでは、要請ノードマルチキャストアドレスと呼ばれる特別なマルチキャスト宛先アドレスを使用します。 IPv6アドレスブロードキャストの代わりにマルチキャストを使用すると、ネットワーク上の不要なトラフィックの流れが減少します。

9
jcbermu

ARPの代わりにNDPを導入した主な理由は、IPを中心とした制御プロトコルを統合したいという願望によるものです。 IPv4は、ICMP、IGMP、ARP/RARPなどのいくつかの制御プロトコルを使用しています。 IPv6では、NDP(ARPの後継)およびMLD(IGMPの後継)は、ICMPv6のサブプロトコルとして設計されているため、制御プロトコルは1つだけです。これにセキュリティ上の理由はありませんでした、NDがARPと同じくらいなりすましの影響を受けやすく、そしてNDがセキュリティのために設計されていませんでした。

IPv6開発の初期の頃は、IPsecはの一般的なセキュリティ対策と見なされていたため、必須でした。ただし、この要件は推奨事項(RFC 6434)に格下げされました。ほとんどの場合、組み込みデバイスとIoTが原因で公開鍵の計算を実行できず、すべての種類のPKI問題を解決できません。とにかく)とNDを確保するための(政治的に言えば)うまくいきません。 SeNDはセキュリティをNDに固定するために導入されましたが、遡及的セキュリティのソフトウェア設計におけるこれまでのほぼすべての試みと同様に、結果は最適とは言えませんでした。実験的なものを除いてSeNDの実装はまだないので、すべての実用的な目的のためにSeNDは存在しません。さらに、少なくとも現在の形ではSeNDが決してリフトオフしないと信じる理由があります。

これとは対照的に、SAVIはより有望に見えますが、スイッチングインフラストラクチャの変更を必要とし、SAVI対応機器はそれほど低価格ではないため、急速に普及することもありません。 SAVIは、サイト内で、HWアドレス(すなわち、MACアドレス)とIPアドレスとの間のどのマッピングが正当であるかが「知られている」べきであり、したがって偽のNDPメッセージを識別し除去することが可能であるべきであると主張する。

最良のレシピは最も単純なものですが、見落とされがちです:ARPとNDのなりすましは同じLAN内のターゲットに対してのみ有効です。したがって、信頼できないデバイスを独自のLANセグメントに配置するだけで(ファイアウォールやフィルタリングのルールは不要)、攻撃対象が大幅に減少します。

4
countermode