أمان NDP: الحماية من هجمات شبكة IPv6

لماذا يهم أمان NDP#

بروتوكول اكتشاف الجيران (NDP) يحل محل ARP في IPv6، ويتعامل مع حل العناوين واكتشاف الموجه وتكوين الشبكة. على عكس نموذج الطلب-الاستجابة البسيط لـ ARP، يدير NDP إعلانات البادئة واكتشاف العناوين المكررة وإعلانات الموجه — جميع وظائف الشبكة الحاسمة.

المشكلة: تم تصميم NDP للشبكات المحلية الموثوقة. ليس لديه مصادقة. يمكن لأي جهاز على LAN إرسال إعلانات موجه تدعي أنها البوابة الافتراضية، أو الإعلان عن بادئات عشوائية، أو تسميم ذاكرات التخزين المؤقت للجيران. في الشبكات الحديثة مع الوصول للضيوف وسياسات BYOD والتهديدات المحتملة من الداخل، ينكسر نموذج الثقة هذا.

تأثير الهجوم يتراوح من رفض الخدمة (كسر الاتصال) إلى هجمات الرجل في الوسط (اعتراض حركة المرور). مع نمو نشر IPv6، يستهدف المهاجمون بشكل متزايد ثغرات NDP التي لم تؤمنها فرق الشبكة.

نواقل هجوم NDP#

فهم التهديدات يساعد في تحديد أولويات الدفاعات. فيما يلي أنماط الهجوم الأساسية:

إعلانات الموجه المارقة#

الهجوم الأكثر شيوعًا وخطورة. يُرسل جهاز ضار إعلانات موجه (RA) مع:

• بوابة افتراضية مختلفة (رجل في الوسط)
• عمر موجه أقصر (DoS عن طريق إجبار إعادة التكوين المستمر)
• خوادم DNS ضارة
• بادئات غير صالحة
• RAs مفرطة تغرق الشبكة

التأثير: يُعيد العملاء التكوين تلقائيًا، ويرسلون حركة المرور من خلال نظام المهاجم أو يفقدون الاتصال تمامًا.

السيناريو الواقعي: يُحضر موظف موجه منزلي إلى المكتب ويوصله. يُرسل الموجه RAs على شبكة الشركات. تُعيد مئات الأنظمة التكوين، وتفقد الوصول إلى الإنترنت أو أسوأ، والتوجيه من خلال الجهاز غير المُدار.

تسميم ذاكرة التخزين المؤقت للجيران#

يُرسل المهاجمون إعلانات جيران مزيفة تدعي ملكية عنوان IPv6 لجهاز آخر. تُحدث الشبكة ذاكرة التخزين المؤقت للجيران بعنوان MAC للمهاجم.

Legitimate: 2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
Attack:     2001:db8::100 → MAC 11:22:33:44:55:66 (attacker)

النتيجة: حركة المرور المقصودة للمضيف الشرعي تذهب إلى المهاجم بدلاً من ذلك.

هذا هو نسخة IPv6 من تسميم ARP. نفس مفهوم الهجوم، بروتوكول مختلف.

هجمات كشف العنوان المكرر (DAD)#

عندما يُكوّن عقدة عنوان IPv6 عبر SLAAC، تُجري DAD — إرسال طلبات جيران للتحقق من عدم استخدام أي جهاز آخر لهذا العنوان. إذا تلقت إعلان جيران يدعي هذا العنوان، ترفض العقدة تكوينه.

يستجيب المهاجمون لجميع محاولات DAD، مما يمنع العقد الشرعية من الحصول على العناوين. تمتلئ شبكتك بسجلات «IPv6: DAD failed» ولا يمكن للأجهزة الحصول على عناوين.

هجمات رسائل إعادة التوجيه#

تُرسل الموجهات رسائل إعادة توجيه ICMPv6 تُخبر المضيفين عن خيارات الوصلة التالية الأفضل. بدون مصادقة، يُزور المهاجمون عمليات إعادة التوجيه لاختطاف تدفقات حركة المرور.

أقل شيوعًا من هجمات RA ولكنها خطيرة بنفس القدر عند استهداف اتصالات محددة.

إغراق طلبات الموجه#

بينما تأثيره أقل، يمكن للمهاجمين إغراق الشبكة بطلبات موجه، مما يتسبب في إهدار الموجهات الشرعية للموارد في توليد الاستجابات. عند دمجه مع هجمات أخرى، يُضخم هذا الاضطراب.

آليات الدفاع#

توجد تقنيات أمان متعددة، من ميزات المفاتيح البسيطة إلى المصادقة المشفرة. ضع طبقات من هذه الدفاعات للحماية الشاملة.

RA Guard: خط الدفاع الأول#

RA Guard (RFC 6105) هي ميزة مفتاح تُرشح رسائل إعلان الموجه. فكر فيها كأمن المنفذ لـ RAs — فقط المنافذ المصرح بها يمكنها إرسالها.

كيف يعمل RA Guard#

يفحص المفتاح حزم ICMPv6 بحثًا عن إعلانات الموجه ويطبق السياسة:

┌─────────────────────────────────────────┐
│          Switch Port Types              │
├─────────────────────────────────────────┤
│ Host Port: Block all RAs               │
│ Router Port: Allow RAs from trusted IPs│
└─────────────────────────────────────────┘

يُعرف التكوين:

• منافذ تواجه المضيف: حظر RAs تمامًا (اتصالات المستخدم النهائي)
• منافذ تواجه الموجه: السماح بـ RAs (وصلة صعود إلى موجهات شرعية)
• التحقق من دور الجهاز: مطابقة عناوين المصدر مقابل الموجهات المصرح بها

تكوين Cisco RA Guard#

! تعريف قائمة وصول IPv6 للموجهات الموثوقة
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! إنشاء سياسة RA Guard
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! تطبيق على VLANs
interface range GigabitEthernet1/0/1-48
 description Access ports
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description Uplink to router
 ipv6 nd raguard attach-policy ROUTER-POLICY

تكوين Juniper RA Guard#

# تعريف RA Guard على منافذ الوصول
set protocols router-advertisement interface ge-0/0/0.0 no-advertise
 
# السماح بـ RAs على الوصلة الصاعدة
set protocols router-advertisement interface ge-0/0/23.0

Linux Bridge RA Guard#

للمفاتيح القائمة على Linux أو افتراضية KVM:

# تمكين RA Guard على منفذ الجسر
echo 1 > /sys/class/net/vnet0/brport/protect_ra
 
# أو استخدم ebtables
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp \
  --ip6-icmp-type router-advertisement -i vnet0 -j DROP

قيود RA Guard#

يفحص RA Guard الحزم في الطبقة 2. يمكن للمهاجمين تجاوزه من خلال:

• التجزئة: تقسيم RA عبر أجزاء IPv6 (الجزء الأول لا يُظهر نوع ICMPv6)
• النفق: تغليف RAs في بروتوكولات أخرى
• رؤوس الامتداد: إضافة hop-by-hop أو رؤوس خيارات الوجهة

تتضمن المفاتيح الحديثة أوضاع «الفحص العميق» التي تُعيد تجميع الأجزاء وتحلل رؤوس الامتداد. تحقق من أن الأجهزة الخاصة بك تدعم هذا أو اقبل المخاطر المتبقية.

DHCPv6 Guard#

مثل RA Guard، يحظر DHCPv6 Guard رسائل خادم DHCPv6 من منافذ غير مصرح بها. هذا يمنع خوادم DHCPv6 المارقة من إصدار العناوين أو تكوينات DNS.

Cisco DHCPv6 Guard#

ipv6 dhcp guard policy CLIENT-POLICY
 device-role client
 
ipv6 dhcp guard policy SERVER-POLICY
 device-role server
 
interface range GigabitEthernet1/0/1-48
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 
interface GigabitEthernet1/0/49
 ipv6 dhcp guard attach-policy SERVER-POLICY

يعمل DHCPv6 Guard على أنواع الرسائل هذه:

• ADVERTISE (خادم → عميل)
• REPLY (خادم → عميل)
• RECONFIGURE (خادم → عميل)

حظر هذه من منافذ المضيف يمنع خوادم DHCPv6 المارقة مع السماح بطلبات العميل الشرعية.

SEND: المصادقة المشفرة#

اكتشاف الجيران الآمن (SEND، RFC 3971) يضيف توقيعات مشفرة إلى رسائل NDP. يوفر مصادقة قوية ولكنه يتطلب بنية تحتية لـ PKI وليس منتشرًا على نطاق واسع.

كيف يعمل SEND#

يستخدم SEND CGA (عناوين مُنشأة مشفرة) حيث يرتبط عنوان IPv6 مشفرًا بمفتاح عام:

1. ينشئ العقدة زوج مفاتيح عامة/خاصة
2. ينشئ عنوان IPv6 مع hash للمفتاح العام في معرف الواجهة
3. يوقع رسائل NDP بالمفتاح الخاص
4. يتحقق المستلمون من أن التوقيع يطابق العنوان

┌─────────────────────────────────────────────────┐
│ Router Advertisement (with SEND)                │
├─────────────────────────────────────────────────┤
│ Standard RA fields                              │
│ + CGA Parameters (public key, modifier)         │
│ + RSA Signature                                 │
│ + Timestamp                                     │
│ + Nonce (for replay protection)                 │
└─────────────────────────────────────────────────┘

لماذا SEND ليس منتشرًا#

على الرغم من توحيده القياسي منذ 2005، يظل اعتماد SEND ضئيلاً:

الإيجابيات:

• آمن مشفرًا (لا يمكن انتحاله بدون مفتاح خاص)
• لا حاجة لدعم المفتاح (أمان من طرف إلى طرف)
• يحمي جميع أنواع رسائل NDP

السلبيات:

• متطلبات بنية تحتية PKI معقدة
• دعم نظام تشغيل محدود (بعض التطبيقات موجودة، نادرًا ما تُمكّن افتراضيًا)
• حمل أداء للتحقق من التوقيع
• مشاكل التوافق العكسي (عقد SEND وغير SEND لا تتعاون بشكل جيد)
• تعقيد إدارة العناوين (عناوين CGA ليست سهلة الاستخدام)

تجد معظم المنظمات RA Guard و DHCPv6 Guard كافية مع نسبة تكلفة-فائدة أفضل.

متى تفكر في SEND#

بيئات آمنة للغاية حيث:

• تتحكم في جميع نقاط النهاية (يمكنك فرض SEND في كل مكان)
• البنية التحتية لـ PKI موجودة بالفعل
• تأثير الأداء مقبول
• الامتثال التنظيمي يتطلب حماية NDP مشفرة

مجموعة أمان الوصلة الأولى لـ IPv6#

تجمع المفاتيح الحديثة ميزات أمان NDP في أمان الوصلة الأولى الشامل:

IPv6 Source Guard#

يتحقق من أن عنوان مصدر IPv6 وعنوان MAC يطابقان الروابط المستفادة من خلال:

• التنصت على NDP (تتبع إعلانات الجيران الشرعية)
• التنصت على DHCPv6 (تتبع تعيينات العناوين)
• الروابط اليدوية

يحظر الحزم بعناوين مصدر مزيفة.

IPv6 Prefix Guard#

يتحقق من إعلانات الموجه ورسائل تفويض بادئة DHCPv6 مقابل سياسات البادئة المكونة. يمنع المهاجمين من الإعلان عن بادئات غير مصرح بها.

IPv6 Destination Guard#

يفرض أن عناوين الوجهة في الحزم تطابق جدول ربط اكتشاف الجيران. يمنع حركة المرور إلى عناوين غير موجودة (مستخدمة في بعض هجمات DoS).

ND Inspection#

يتنصت على جميع رسائل NDP ويبني جداول ربط تربط عنوان IPv6 → عنوان MAC → منفذ. تشير ميزات الأمان الأخرى إلى هذه الروابط للتحقق.

تكوين Cisco FHS الكامل#

! تمكين IPv6 على المفتاح
ipv6 unicast-routing
 
! إنشاء سياسة FHS
ipv6 access-list ipv6-acl-fhs
 permit ipv6 any any
 
ipv6 nd inspection policy FHS-POLICY
 device-role switch
 drop-unsecure
 limit address-count 1000
 tracking enable
 
ipv6 snooping policy FHS-SNOOPING
 device-role switch
 
! التطبيق على VLAN
vlan configuration 10
 ipv6 nd inspection attach-policy FHS-POLICY
 ipv6 snooping attach-policy FHS-SNOOPING
 
! تكوين منافذ موثوقة
interface GigabitEthernet1/0/49
 ipv6 nd inspection trust
 ipv6 snooping trust

المراقبة والكشف#

الوقاية ليست كافية. راقب محاولات الهجوم والشذوذ.

المقاييس الرئيسية للتتبع#

نشاط إعلان الموجه:

# مراقبة تكرار RA
rdisc6 eth0
 
# المتوقع: RAs كل 200-600 ثانية من الموجهات المعروفة
# تنبيه: RAs متعددة في الثانية، RAs من مصادر غير معروفة

معدلات رسائل اكتشاف الجيران:

# عد حزم Linux
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "RA: "
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j LOG --log-prefix "NA: "
 
# مشاهدة السجلات
journalctl -f | grep -E "RA:|NA:"

تغيير ذاكرة التخزين المؤقت للجيران:

# مراقبة تغييرات جدول الجيران
watch -n 1 "ip -6 neigh show | wc -l"
 
# التغيير العالي يشير إلى تسميم محتمل

انتهاكات أمان المفتاح#

راقب انتهاكات RA Guard و DHCPv6 Guard:

# Cisco
show ipv6 nd raguard policy
show ipv6 dhcp guard policy
 
# ابحث عن عدادات الإسقاط المتزايدة
show platform hardware fed switch active qos queue stats internal cpu policer

تكامل SIEM#

أرسل أحداث الأمان إلى SIEM الخاص بك:

قواعد الكشف:

• إعلانات موجه متعددة من مصادر مختلفة في إطار زمني قصير
• RAs بأعمار غير عادية (قصيرة جدًا أو طويلة جدًا)
• معدل عالٍ من طلبات الجيران (هجوم DAD محتمل)
• RAs من عناوين مصدر غير متوقعة
• رسائل خادم DHCPv6 من منافذ المضيف

مثال استعلام Splunk:

index=network sourcetype=cisco:ios ipv6 "RA Guard" action=dropped
| stats count by src_ip, interface
| where count > 10

أدوات الأمان المخصصة#

ndpmon: daemon مراقبة NDP مفتوح المصدر

# تثبيت
apt-get install ndpmon
 
# تكوين الموجهات المسموح بها في /etc/ndpmon/config_ndpmon.xml
<router>
  <mac>aa:bb:cc:dd:ee:ff</mac>
  <lla>fe80::1</lla>
</router>
 
# بدء المراقبة
ndpmon -c /etc/ndpmon/config_ndpmon.xml

تنبيهات على:

• RAs مارقة
• تغييرات بادئة غير متوقعة
• تغييرات ربط MAC/IPv6
• هجمات DAD

دليل النشر العملي#

طبّق أمان NDP بشكل منهجي لتجنب تعطيل حركة المرور الشرعية.

المرحلة 1: الرؤية (الأسبوع 1)#

الهدف: فهم سلوك NDP الحالي

1. تمكين تسجيل NDP على المفاتيح
2. نشر ndpmon أو ما شابه على كل VLAN
3. توثيق جميع الموجهات الشرعية (MAC، عنوان IPv6)
4. التقاط أسبوع واحد من حركة مرور RA/NA الأساسية
5. تحديد أي مصادر غير متوقعة

المرحلة 2: الحماية السلبية (الأسبوع 2)#

الهدف: تمكين الكشف دون الفرض

1. تكوين RA Guard في وضع المراقبة (إذا كان مدعومًا)
2. إعداد التنبيه للانتهاكات
3. التحقق من عدم وجود إيجابيات خاطئة من البنية التحتية الشرعية
4. ضبط السياسات بناءً على التنبيهات

المرحلة 3: الحماية النشطة (الأسبوع 3-4)#

الهدف: فرض سياسات الأمان

1. تمكين RA Guard في وضع الحظر على VLAN اختباري
2. التحقق من اتصال العميل وتعيين العنوان
3. التوسع إلى VLANs الإنتاج تدريجيًا
4. إضافة DHCPv6 Guard وميزات FHS الأخرى
5. توثيق الاستثناءات والمنافذ الموثوقة

المرحلة 4: الإدارة المستمرة#

الهدف: الحفاظ على وضع الأمان

1. مراجعة سجلات الانتهاكات أسبوعيًا
2. تحديث قوائم الموجه الموثوقة عند تغيير البنية التحتية
3. اختبار الأمان أثناء تقييمات الثغرات
4. تدريب الفريق على مفاهيم أمان NDP

أفضل ممارسات التكوين#

لمفاتيح الوصول#

! الموقف الافتراضي: جميع المنافذ تواجه المضيف
ipv6 nd raguard policy DEFAULT-HOST
 device-role host
 
! التطبيق على جميع المنافذ افتراضيًا
interface range GigabitEthernet1/0/1-48
 ipv6 nd raguard attach-policy DEFAULT-HOST
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 ipv6 snooping
 
! الثقة الصريحة في الوصلات الصاعدة (استخدم التجاوز اليدوي)
interface GigabitEthernet1/0/49
 description Uplink to distribution
 ipv6 nd raguard attach-policy ROUTER-POLICY
 ipv6 dhcp guard attach-policy SERVER-POLICY
 ipv6 snooping trust

المبدأ: الرفض افتراضيًا، السماح بشكل صريح.

للتوزيع/النواة#

! أقل تقييدًا حيث البنية التحتية مُتحكم بها
! ولكن لا تزال تتحقق من المصادر
ipv6 nd raguard policy INFRA-POLICY
 device-role router
 match ipv6 access-list KNOWN-ROUTERS

لمتحكمات اللاسلكي#

الشبكات الضيفية عرضة بشكل خاص:

! حظر RA صارم على SSID الضيف
ipv6 nd raguard policy GUEST-POLICY
 device-role host
 no-ra

لمراكز البيانات#

تحتاج البيئات الافتراضية إلى RA Guard على المفاتيح الافتراضية:

VMware:

• vSphere 6.5+ يدعم سياسات أمان IPv6
• تكوين RA Guard على المفتاح الافتراضي الموزع
• التطبيق على جميع VLANs الضيف

KVM/Linux bridges:

# تمكين حماية RA على جميع واجهات VM
for interface in /sys/class/net/vnet*/brport/protect_ra; do
  echo 1 > "$interface"
done

محاكاة الهجوم للاختبار#

تحقق من أن دفاعاتك تعمل قبل أن يختبرها المهاجم من أجلك.

اختبار RA Guard#

استخدم radvd لإرسال إعلانات موجه اختبارية من منفذ مضيف:

# تثبيت radvd
apt-get install radvd
 
# تكوين RA اختباري (/etc/radvd.conf)
interface eth0 {
  AdvSendAdvert on;
  prefix 2001:db8:bad::/64 {
    AdvOnLink on;
    AdvAutonomous on;
  };
};
 
# بدء radvd
systemctl start radvd
 
# المتوقع: RA Guard يحظر هذه الرسائل
# التحقق: تحقق من سجلات المفتاح للانتهاكات

اختبار ND Inspection#

محاولة تسميم ذاكرة التخزين المؤقت للجيران:

# إرسال إعلان جيران مزيف
ndsend eth0 2001:db8::victim -a aa:bb:cc:dd:ee:ff --na-override
 
# المتوقع: Source Guard أو ND Inspection يحظر
# التحقق: ذاكرة التخزين المؤقت للجيران دون تغيير على الهدف

أدوات اختبار احترافية#

THC IPv6 Attack Toolkit:

# تثبيت
apt-get install thc-ipv6
 
# اختبار إغراق RA
flood_router6 eth0
 
# اختبار هجوم DAD
dos-new-ip6 eth0
 
# المتوقع: جميع الهجمات محظورة بميزات FHS

Scapy لاختبارات مخصصة:

from scapy.all import *
 
# صياغة RA ضار
ra = IPv6(dst="ff02::1")/ICMPv6ND_RA()/ICMPv6NDOptPrefixInfo(prefix="2001:db8:bad::")
send(ra, iface="eth0")

قم فقط بإجراء اختبار الهجوم على شبكات اختبار معزولة أو بتصريح صريح.

الأخطاء الشائعة#

1. نسيان ثقة الوصلة الصاعدة#

تكوين RA Guard على جميع المنافذ دون الثقة الصريحة في الوصلات الصاعدة يحظر RAs الشرعية. تفقد شبكتك بأكملها اتصال IPv6.

الأعراض: يتوقف العملاء عن تلقي العناوين بعد تمكين RA Guard.

الإصلاح: حدد ووثق المنافذ المتصلة بالموجهات الشرعية.

2. تغطية VLAN غير متسقة#

تطبيق الأمان على بعض VLANs ولكن ليس الأخرى. يتصل المهاجمون بـ VLANs غير محمية ويحوّرون.

الإصلاح: طبّق سياسات أمان الوصلة الأولى على جميع VLANs، بما في ذلك شبكات الإدارة.

3. عدم الاختبار قبل الإنتاج#

تمكين وضع الحظر دون اختبار يسبب انقطاعات عندما يتم تصفية حركة المرور الشرعية.

الإصلاح: اختبر دائمًا في بيئة مختبرية أو وضع المراقبة أولاً.

4. تجاهل الشبكات اللاسلكية#

غالبًا ما تتجاوز متحكمات اللاسلكي ونقاط الوصول RA Guard إذا لم يتم تكوينها بشكل صحيح.

الإصلاح: تحقق من أن سياسات الأمان تنطبق على VLANs اللاسلكية. اختبر من عملاء WiFi.

5. إهمال البيئات الافتراضية#

يمكن لـ VMs إرسال RAs داخل المفاتيح الافتراضية، ومهاجمة VMs الأخرى على نفس المضيف.

الإصلاح: مكّن حماية RA على المفاتيح الافتراضية وشبكات hypervisor.

عندما يكسر الأمان حالات الاستخدام الشرعية#

تتطلب بعض السيناريوهات RAs من منافذ المضيف:

موجهات وضع الجسر#

الموجهات الصغيرة في وضع الجسر/التمرير ترحل RAs من المنبع.

الحل: ثق بشكل صريح في هذه المنافذ أو استخدم تصميم شبكة مختلف.

بيئات مختبر الموجه#

اختبار OSPF أو BGP أو تكوينات الموجه يتطلب إرسال RAs.

الحل: سياسة أمان مخصصة لـ VLANs المختبرية تسمح بـ RAs من أي مصدر.

ربط نقطة اتصال المحمول#

الهواتف الذكية التي توفر وظائف نقطة الاتصال ترسل RAs.

الحل: يمكن للشبكات الضيفة السماح بهذا، ولكن يجب أن تحظره شبكات الشركات.

وثق جميع الاستثناءات وراجعها بانتظام.

المستقبل: عمل قيد التقدم#

يتطور أمان NDP ولكن التحديات تبقى:

التطورات الإيجابية:

• نشر RA Guard أوسع
• تحسين دعم المفتاح للفحص العميق
• تكامل أفضل مع سير عمل SIEM/SOC

التحديات المستمرة:

• اعتماد SEND لا يزال ضئيلاً
• العديد من أجهزة IoT تفتقر إلى الوعي الأمني
• التعقيد التشغيلي مقابل ARP الأبسط لـ IPv4

التقنيات الناشئة:

• الشبكات المعرفة بالبرمجيات (SDN) تُمكّن سياسات أمان أكثر مرونة
• التعلم الآلي للكشف عن الشذوذ في حركة مرور NDP
• الاستجابة التلقائية للهجمات المكتشفة

ابدأ تأمين NDP الآن#

هجمات NDP حقيقية ومتزايدة. آليات الأمان موجودة وتعمل — فقط تحتاج إلى النشر.

الحد الأدنى من أمان NDP القابل للتطبيق:

1. مكّن RA Guard على جميع مفاتيح الوصول
2. ثق فقط في منافذ الوصلة الصاعدة
3. راقب الانتهاكات
4. استجب للتنبيهات

هذا يوقف 95% من هجمات NDP بجهد ضئيل. أضف DHCPv6 Guard و Source Guard والمراقبة الشاملة للدفاع المتعمق.

لا تنتظر هجومًا لتبدأ في أخذ أمان NDP على محمل الجد. شبكة IPv4 الخاصة بك لديها قواعد جدار حماية وأمن منفذ والتنصت على DHCP. يستحق IPv6 نفس الاهتمام.

مقالات ذات صلة#

• بروتوكول اكتشاف الجيران IPv6 — كيف يعمل NDP ولماذا هو ضروري
• أفضل ممارسات أمان IPv6 — دليل أمان IPv6 شامل
• تكوين جدار حماية IPv6 — تأمين IPv6 عند حافة الشبكة

الأسئلة المتكررة#