NDP-Sicherheit: Schutz vor IPv6-Netzwerkangriffen

Warum NDP-Sicherheit wichtig ist#

Das Neighbor Discovery Protocol (NDP) ersetzt ARP in IPv6 und übernimmt Adressauflösung, Router-Discovery und Netzwerkkonfiguration. Im Gegensatz zum einfachen Request-Response-Modell von ARP verwaltet NDP Präfixankündigungen, Duplicate Address Detection und Router-Advertisements – alles kritische Netzwerkfunktionen.

Das Problem: NDP wurde für vertrauenswürdige lokale Netzwerke entwickelt. Es hat keine Authentifizierung. Jedes Gerät in Ihrem LAN kann Router-Advertisements senden, die behaupten, das Standard-Gateway zu sein, beliebige Präfixe ankündigen oder Neighbor-Caches vergiften. In modernen Netzwerken mit Gastzugang, BYOD-Richtlinien und potenziellen Insider-Bedrohungen versagt dieses Vertrauensmodell.

Die Auswirkungen von Angriffen reichen von Denial of Service (Unterbrechung der Konnektivität) bis zu Man-in-the-Middle-Angriffen (Abfangen von Verkehr). Während die IPv6-Bereitstellung wächst, zielen Angreifer zunehmend auf NDP-Schwachstellen ab, die Netzwerkteams nicht gesichert haben.

Warum NDP-Sicherheit wichtig ist#

NDP-Angriffsvektoren#

Das Verstehen der Bedrohungen hilft bei der Priorisierung von Verteidigungen. Hier sind die primären Angriffsmuster:

Betrügerische Router-Advertisements#

Der häufigste und gefährlichste Angriff. Ein bösartiges Gerät sendet Router-Advertisements (RA) mit:

• Anderem Standard-Gateway (Man-in-the-Middle)
• Kürzerer Router-Lebensdauer (DoS durch erzwungene ständige Neukonfiguration)
• Bösartigen DNS-Servern
• Ungültigen Präfixen
• Übermäßigen RAs, die das Netzwerk fluten

Auswirkung: Clients konfigurieren sich automatisch neu und senden Verkehr über das System des Angreifers oder verlieren vollständig die Konnektivität.

Reales Szenario: Ein Mitarbeiter bringt einen Heimrouter ins Büro und steckt ihn ein. Der Router sendet RAs im Unternehmensnetzwerk. Hunderte von Systemen konfigurieren sich neu und verlieren den Internetzugang oder schlimmer noch, routen durch das nicht verwaltete Gerät.

Neighbor-Cache-Vergiftung#

Angreifer senden gefälschte Neighbor-Advertisements, die den Besitz der IPv6-Adresse eines anderen Geräts beanspruchen. Das Netzwerk aktualisiert seinen Neighbor-Cache mit der MAC-Adresse des Angreifers.

Legitim: 2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
Angriff: 2001:db8::100 → MAC 11:22:33:44:55:66 (Angreifer)

Ergebnis: Verkehr, der für den legitimen Host bestimmt ist, geht stattdessen an den Angreifer.

Dies ist die IPv6-Version der ARP-Vergiftung. Gleiches Angriffskonzept, anderes Protokoll.

Duplicate Address Detection (DAD)-Angriffe#

Wenn ein Knoten eine IPv6-Adresse über SLAAC konfiguriert, führt er DAD durch – er sendet Neighbor Solicitations, um zu überprüfen, dass kein anderes Gerät diese Adresse verwendet. Wenn er ein Neighbor Advertisement erhält, das diese Adresse beansprucht, weigert sich der Knoten, sie zu konfigurieren.

Angreifer antworten auf alle DAD-Versuche und verhindern so, dass legitime Knoten Adressen erhalten. Ihr Netzwerk füllt sich mit „IPv6: DAD failed"-Protokollen, und Geräte können keine Adressen erhalten.

Redirect-Nachrichten-Angriffe#

Router senden ICMPv6-Redirect-Nachrichten, die Hosts über bessere Next-Hop-Optionen informieren. Ohne Authentifizierung fälschen Angreifer Redirects, um Verkehrsflüsse zu kapern.

Weniger verbreitet als RA-Angriffe, aber bei gezielten Kommunikationen gleichermaßen gefährlich.

Router-Solicitation-Flooding#

Obwohl weniger wirkungsvoll, können Angreifer das Netzwerk mit Router-Solicitations fluten, was legitime Router dazu bringt, Ressourcen für die Generierung von Antworten zu verschwenden. In Kombination mit anderen Angriffen verstärkt dies die Störung.

Verteidigungsmechanismen#

Es existieren mehrere Sicherheitstechnologien, von einfachen Switch-Funktionen bis zur kryptografischen Authentifizierung. Schichten Sie diese Verteidigungen für umfassenden Schutz.

RA Guard: Erste Verteidigungslinie#

RA Guard (RFC 6105) ist eine Switch-Funktion, die Router-Advertisement-Nachrichten filtert. Betrachten Sie es als Port-Sicherheit für RAs – nur autorisierte Ports können sie senden.

Wie RA Guard funktioniert#

Der Switch inspiziert ICMPv6-Pakete auf Router-Advertisements und wendet Richtlinien an:

┌─────────────────────────────────────────┐
│          Switch-Port-Typen              │
├─────────────────────────────────────────┤
│ Host-Port: Alle RAs blockieren         │
│ Router-Port: RAs von vertrauenswürdigen│
│              IPs erlauben               │
└─────────────────────────────────────────┘

Die Konfiguration definiert:

• Host-Ports: RAs vollständig blockieren (Endbenutzerverbindungen)
• Router-Ports: RAs erlauben (Uplink zu legitimen Routern)
• Geräterollenverifizierung: Quelladressen mit autorisierten Routern abgleichen

Cisco RA Guard-Konfiguration#

! IPv6-Zugriffsliste für vertrauenswürdige Router definieren
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! RA Guard-Richtlinie erstellen
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! Auf VLANs anwenden
interface range GigabitEthernet1/0/1-48
 description Access ports
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description Uplink to router
 ipv6 nd raguard attach-policy ROUTER-POLICY

Juniper RA Guard-Konfiguration#

# RA Guard auf Access-Ports definieren
set protocols router-advertisement interface ge-0/0/0.0 no-advertise
 
# RAs auf Uplink erlauben
set protocols router-advertisement interface ge-0/0/23.0

Linux Bridge RA Guard#

Für Linux-basierte Switches oder KVM-Virtualisierung:

# RA Guard auf Bridge-Port aktivieren
echo 1 > /sys/class/net/vnet0/brport/protect_ra
 
# Oder ebtables verwenden
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp \
  --ip6-icmp-type router-advertisement -i vnet0 -j DROP

RA Guard-Einschränkungen#

RA Guard inspiziert Pakete auf Layer 2. Angreifer können es umgehen durch:

• Fragmentierung: RAs über IPv6-Fragmente aufteilen (erstes Fragment zeigt nicht den ICMPv6-Typ)
• Tunneling: RAs in anderen Protokollen kapseln
• Extension-Header: Hop-by-Hop- oder Destination-Options-Header hinzufügen

Moderne Switches beinhalten „Deep-Inspection"-Modi, die Fragmente wieder zusammensetzen und Extension-Header parsen. Überprüfen Sie, ob Ihre Hardware dies unterstützt, oder akzeptieren Sie Restrisiken.

DHCPv6 Guard#

Ähnlich wie RA Guard blockiert DHCPv6 Guard DHCPv6-Server-Nachrichten von nicht autorisierten Ports. Dies verhindert, dass betrügerische DHCPv6-Server Adressen oder DNS-Konfigurationen ausgeben.

Cisco DHCPv6 Guard#

ipv6 dhcp guard policy CLIENT-POLICY
 device-role client
 
ipv6 dhcp guard policy SERVER-POLICY
 device-role server
 
interface range GigabitEthernet1/0/1-48
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 
interface GigabitEthernet1/0/49
 ipv6 dhcp guard attach-policy SERVER-POLICY

DHCPv6 Guard arbeitet mit diesen Nachrichtentypen:

• ADVERTISE (Server → Client)
• REPLY (Server → Client)
• RECONFIGURE (Server → Client)

Das Blockieren dieser von Host-Ports verhindert betrügerische DHCPv6-Server, während legitime Client-Anfragen erlaubt werden.

SEND: Kryptografische Authentifizierung#

Secure Neighbor Discovery (SEND, RFC 3971) fügt kryptografische Signaturen zu NDP-Nachrichten hinzu. Es bietet starke Authentifizierung, erfordert aber PKI-Infrastruktur und ist nicht weit verbreitet.

Wie SEND funktioniert#

SEND verwendet CGA (Cryptographically Generated Addresses), bei denen die IPv6-Adresse kryptografisch an einen öffentlichen Schlüssel gebunden ist:

1. Knoten generiert öffentliches/privates Schlüsselpaar
2. Erstellt IPv6-Adresse mit Hash des öffentlichen Schlüssels in der Schnittstellen-ID
3. Signiert NDP-Nachrichten mit privatem Schlüssel
4. Empfänger überprüfen, ob die Signatur zur Adresse passt

┌─────────────────────────────────────────────────┐
│ Router Advertisement (mit SEND)                 │
├─────────────────────────────────────────────────┤
│ Standard-RA-Felder                              │
│ + CGA-Parameter (öffentlicher Schlüssel,        │
│   Modifikator)                                  │
│ + RSA-Signatur                                  │
│ + Zeitstempel                                   │
│ + Nonce (für Replay-Schutz)                     │
└─────────────────────────────────────────────────┘

Warum SEND nicht weit verbreitet ist#

Obwohl seit 2005 standardisiert, bleibt die SEND-Akzeptanz minimal:

Vorteile:

• Kryptografisch sicher (kann ohne privaten Schlüssel nicht gefälscht werden)
• Keine Switch-Unterstützung erforderlich (End-to-End-Sicherheit)
• Schützt alle NDP-Nachrichtentypen

Nachteile:

• Komplexe PKI-Infrastruktur erforderlich
• Begrenzte Betriebssystemunterstützung (einige Implementierungen existieren, selten standardmäßig aktiviert)
• Leistungsoverhead der Signaturverifizierung
• Rückwärtskompatibilitätsprobleme (SEND- und Nicht-SEND-Knoten interoperieren nicht gut)
• Adressverwaltungskomplexität (CGA-Adressen sind nicht benutzerfreundlich)

Die meisten Organisationen finden RA Guard und DHCPv6 Guard mit besserem Kosten-Nutzen-Verhältnis ausreichend.

Wann SEND in Betracht gezogen werden sollte#

Hochsichere Umgebungen, wo:

• Sie alle Endpunkte kontrollieren (SEND überall durchsetzen können)
• PKI-Infrastruktur bereits existiert
• Leistungsauswirkung akzeptabel ist
• Regulatorische Compliance kryptografischen NDP-Schutz erfordert

IPv6 First-Hop Security Suite#

Moderne Switches bündeln NDP-Sicherheitsfunktionen in umfassende First-Hop-Security:

IPv6 Source Guard#

Validiert, dass Quell-IPv6-Adresse und MAC-Adresse mit Bindungen übereinstimmen, die gelernt wurden durch:

• NDP-Snooping (Verfolgung legitimer Neighbor-Advertisements)
• DHCPv6-Snooping (Verfolgung von Adresszuweisungen)
• Manuelle Bindungen

Blockiert Pakete mit gefälschten Quelladressen.

IPv6 Prefix Guard#

Validiert Router-Advertisements und DHCPv6-Prefix-Delegation-Nachrichten gegen konfigurierte Präfixrichtlinien. Verhindert, dass Angreifer nicht autorisierte Präfixe ankündigen.

IPv6 Destination Guard#

Erzwingt, dass Zieladressen in Paketen mit der Neighbor-Discovery-Bindungstabelle übereinstimmen. Verhindert Verkehr zu nicht existierenden Adressen (verwendet bei einigen DoS-Angriffen).

ND Inspection#

Snoopt alle NDP-Nachrichten und erstellt Bindungstabellen, die IPv6-Adresse → MAC-Adresse → Port zuordnen. Andere Sicherheitsfunktionen referenzieren diese Bindungen zur Validierung.

Cisco Complete FHS-Konfiguration#

! IPv6 auf dem Switch aktivieren
ipv6 unicast-routing
 
! FHS-Richtlinie erstellen
ipv6 access-list ipv6-acl-fhs
 permit ipv6 any any
 
ipv6 nd inspection policy FHS-POLICY
 device-role switch
 drop-unsecure
 limit address-count 1000
 tracking enable
 
ipv6 snooping policy FHS-SNOOPING
 device-role switch
 
! Auf VLAN anwenden
vlan configuration 10
 ipv6 nd inspection attach-policy FHS-POLICY
 ipv6 snooping attach-policy FHS-SNOOPING
 
! Vertrauenswürdige Ports konfigurieren
interface GigabitEthernet1/0/49
 ipv6 nd inspection trust
 ipv6 snooping trust

Überwachung und Erkennung#

Prävention reicht nicht aus. Überwachen Sie auf Angriffsversuche und Anomalien.

Wichtige zu verfolgende Metriken#

Router-Advertisement-Aktivität:

# RA-Frequenz überwachen
rdisc6 eth0
 
# Erwartet: RAs alle 200-600 Sekunden von bekannten Routern
# Alarm: Mehrere RAs pro Sekunde, RAs von unbekannten Quellen

Neighbor-Discovery-Nachrichtenraten:

# Linux-Paketzählung
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "RA: "
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j LOG --log-prefix "NA: "
 
# Protokolle beobachten
journalctl -f | grep -E "RA:|NA:"

Neighbor-Cache-Churn:

# Neighbor-Tabellenänderungen überwachen
watch -n 1 "ip -6 neigh show | wc -l"
 
# Hohe Fluktuation weist auf mögliche Vergiftung hin

Switch-Sicherheitsverletzungen#

Überwachen Sie auf RA Guard- und DHCPv6 Guard-Verletzungen:

# Cisco
show ipv6 nd raguard policy
show ipv6 dhcp guard policy
 
# Nach inkrementierenden Drop-Zählern suchen
show platform hardware fed switch active qos queue stats internal cpu policer

SIEM-Integration#

Leiten Sie Sicherheitsereignisse an Ihr SIEM weiter:

Erkennungsregeln:

• Mehrere Router-Advertisements von verschiedenen Quellen in kurzer Zeit
• RAs mit ungewöhnlichen Lebensdauern (sehr kurz oder sehr lang)
• Hohe Rate von Neighbor-Solicitations (potenzieller DAD-Angriff)
• RAs von unerwarteten Quelladressen
• DHCPv6-Server-Nachrichten von Host-Ports

Beispiel-Splunk-Abfrage:

index=network sourcetype=cisco:ios ipv6 "RA Guard" action=dropped
| stats count by src_ip, interface
| where count > 10

Dedizierte Sicherheitstools#

ndpmon: Open-Source-NDP-Überwachungsdaemon

# Installieren
apt-get install ndpmon
 
# Erlaubte Router in /etc/ndpmon/config_ndpmon.xml konfigurieren
<router>
  <mac>aa:bb:cc:dd:ee:ff</mac>
  <lla>fe80::1</lla>
</router>
 
# Überwachung starten
ndpmon -c /etc/ndpmon/config_ndpmon.xml

Warnt bei:

• Betrügerischen RAs
• Unerwarteten Präfixänderungen
• MAC/IPv6-Bindungsänderungen
• DAD-Angriffen

Praktischer Bereitstellungsleitfaden#

Implementieren Sie NDP-Sicherheit systematisch, um legitimen Verkehr nicht zu stören.

Phase 1: Sichtbarkeit (Woche 1)#

Ziel: Aktuelles NDP-Verhalten verstehen

1. NDP-Protokollierung auf Switches aktivieren
2. Ndpmon oder ähnliches auf jedem VLAN bereitstellen
3. Alle legitimen Router dokumentieren (MAC, IPv6-Adresse)
4. Eine Woche Baseline-RA/NA-Verkehr erfassen
5. Unerwartete Quellen identifizieren

Phase 2: Passiver Schutz (Woche 2)#

Ziel: Erkennung ohne Durchsetzung aktivieren

1. RA Guard im Überwachungsmodus konfigurieren (falls unterstützt)
2. Warnung für Verletzungen einrichten
3. Keine False Positives von legitimer Infrastruktur überprüfen
4. Richtlinien basierend auf Warnungen abstimmen

Phase 3: Aktiver Schutz (Woche 3-4)#

Ziel: Sicherheitsrichtlinien durchsetzen

1. RA Guard im Blockierungsmodus auf Test-VLAN aktivieren
2. Client-Konnektivität und Adresszuweisung überprüfen
3. Schrittweise auf Produktions-VLANs erweitern
4. DHCPv6 Guard und andere FHS-Funktionen hinzufügen
5. Ausnahmen und vertrauenswürdige Ports dokumentieren

Phase 4: Laufende Verwaltung#

Ziel: Sicherheitshaltung aufrechterhalten

1. Verletzungsprotokolle wöchentlich überprüfen
2. Listen vertrauenswürdiger Router aktualisieren, wenn sich die Infrastruktur ändert
3. Sicherheit während Schwachstellenbewertungen testen
4. Team in NDP-Sicherheitskonzepten schulen

Konfiguration Best Practices#

Für Access-Switches#

! Standardhaltung: alle Ports sind Host-Ports
ipv6 nd raguard policy DEFAULT-HOST
 device-role host
 
! Standardmäßig auf alle Ports anwenden
interface range GigabitEthernet1/0/1-48
 ipv6 nd raguard attach-policy DEFAULT-HOST
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 ipv6 snooping
 
! Uplinks explizit vertrauen (manuelle Überschreibung verwenden)
interface GigabitEthernet1/0/49
 description Uplink to distribution
 ipv6 nd raguard attach-policy ROUTER-POLICY
 ipv6 dhcp guard attach-policy SERVER-POLICY
 ipv6 snooping trust

Prinzip: Standardmäßig verweigern, explizit erlauben.

Für Distribution/Core#

! Weniger restriktiv, da Infrastruktur kontrolliert ist
! Aber dennoch Quellen validieren
ipv6 nd raguard policy INFRA-POLICY
 device-role router
 match ipv6 access-list KNOWN-ROUTERS

Für Wireless-Controller#

Gastnetzwerke sind besonders anfällig:

! Striktes RA-Blockieren auf Gast-SSID
ipv6 nd raguard policy GUEST-POLICY
 device-role host
 no-ra

Für Rechenzentren#

Virtualisierte Umgebungen benötigen RA Guard auf virtuellen Switches:

VMware:

• vSphere 6.5+ unterstützt IPv6-Sicherheitsrichtlinien
• RA Guard auf Distributed Virtual Switch konfigurieren
• Auf alle Gast-VLANs anwenden

KVM/Linux-Bridges:

# RA-Schutz auf allen VM-Schnittstellen aktivieren
for interface in /sys/class/net/vnet*/brport/protect_ra; do
  echo 1 > "$interface"
done

Angriffssimulation zum Testen#

Überprüfen Sie, ob Ihre Verteidigungen funktionieren, bevor ein Angreifer sie für Sie testet.

RA Guard testen#

Verwenden Sie radvd, um Test-Router-Advertisements von einem Host-Port zu senden:

# radvd installieren
apt-get install radvd
 
# Test-RA konfigurieren (/etc/radvd.conf)
interface eth0 {
  AdvSendAdvert on;
  prefix 2001:db8:bad::/64 {
    AdvOnLink on;
    AdvAutonomous on;
  };
};
 
# radvd starten
systemctl start radvd
 
# Erwartet: RA Guard blockiert diese Nachrichten
# Überprüfen: Switch-Protokolle auf Verletzungen prüfen

ND Inspection testen#

Neighbor-Cache-Vergiftung versuchen:

# Gefälschtes Neighbor-Advertisement senden
ndsend eth0 2001:db8::victim -a aa:bb:cc:dd:ee:ff --na-override
 
# Erwartet: Source Guard oder ND Inspection blockiert
# Überprüfen: Neighbor-Cache auf Ziel unverändert

Professionelle Testwerkzeuge#

THC IPv6 Attack Toolkit:

# Installieren
apt-get install thc-ipv6
 
# RA-Flooding testen
flood_router6 eth0
 
# DAD-Angriff testen
dos-new-ip6 eth0
 
# Erwartet: Alle Angriffe durch FHS-Funktionen blockiert

Scapy für benutzerdefinierte Tests:

from scapy.all import *
 
# Bösartiges RA erstellen
ra = IPv6(dst="ff02::1")/ICMPv6ND_RA()/ICMPv6NDOptPrefixInfo(prefix="2001:db8:bad::")
send(ra, iface="eth0")

Führen Sie Angriffstests nur in isolierten Testnetzwerken oder mit ausdrücklicher Genehmigung durch.

Häufige Fehler#

1. Uplink-Vertrauen vergessen#

RA Guard auf allen Ports ohne explizites Vertrauen in Uplinks konfigurieren blockiert legitime RAs. Ihr gesamtes Netzwerk verliert IPv6-Konnektivität.

Symptom: Clients erhalten keine Adressen mehr nach Aktivierung von RA Guard.

Lösung: Ports identifizieren und vertrauen, die mit legitimen Routern verbunden sind.

2. Inkonsistente VLAN-Abdeckung#

Sicherheit auf einige VLANs anwenden, aber nicht auf andere. Angreifer verbinden sich mit ungeschützten VLANs und pivotieren.

Lösung: First-Hop-Security-Richtlinien auf alle VLANs anwenden, einschließlich Verwaltungsnetzwerke.

3. Nicht vor Produktion testen#

Blockierungsmodus ohne Tests aktivieren verursacht Ausfälle, wenn legitimer Verkehr gefiltert wird.

Lösung: Immer zuerst in Laborumgebung oder Überwachungsmodus testen.

4. Drahtlose Netzwerke ignorieren#

Wireless-Controller und Access Points umgehen oft RA Guard, wenn nicht richtig konfiguriert.

Lösung: Überprüfen Sie, ob Sicherheitsrichtlinien auf drahtlose VLANs angewendet werden. Von WiFi-Clients testen.

5. Virtuelle Umgebungen vernachlässigen#

VMs können RAs innerhalb virtueller Switches senden und andere VMs auf demselben Host angreifen.

Lösung: RA-Schutz auf virtuellen Switches und Hypervisor-Netzwerken aktivieren.

Wenn Sicherheit legitime Anwendungsfälle bricht#

Einige Szenarien erfordern RAs von Host-Ports:

Bridge-Modus-Router#

Kleine Router im Bridge/Passthrough-Modus leiten RAs von Upstream weiter.

Lösung: Diese Ports explizit vertrauen oder anderes Netzwerkdesign verwenden.

Router-Laborumgebungen#

Testen von OSPF, BGP oder Router-Konfigurationen erfordert das Senden von RAs.

Lösung: Dedizierte Sicherheitsrichtlinie für Labor-VLANs, die RAs von jeder Quelle erlaubt.

Mobile Hotspot-Tethering#

Smartphones, die Hotspot-Funktionalität bereitstellen, senden RAs.

Lösung: Gastnetzwerke können dies erlauben, aber Unternehmensnetzwerke sollten es blockieren.

Dokumentieren Sie alle Ausnahmen und überprüfen Sie regelmäßig.

Die Zukunft: Arbeit im Gange#

NDP-Sicherheit entwickelt sich weiter, aber Herausforderungen bleiben:

Positive Entwicklungen:

• Breitere RA Guard-Bereitstellung
• Verbesserte Switch-Unterstützung für Deep Inspection
• Bessere Integration mit SIEM/SOC-Workflows

Laufende Herausforderungen:

• SEND-Adoption bleibt minimal
• Viele IoT-Geräte fehlt Sicherheitsbewusstsein
• Betriebliche Komplexität vs. einfacheres ARP von IPv4

Aufkommende Technologien:

• Software-Defined Networking (SDN) ermöglicht flexiblere Sicherheitsrichtlinien
• Maschinelles Lernen für Anomalie-Erkennung im NDP-Verkehr
• Automatisierte Reaktion auf erkannte Angriffe

Beginnen Sie jetzt mit der Sicherung von NDP#

NDP-Angriffe sind real und nehmen zu. Die Sicherheitsmechanismen existieren und funktionieren – sie müssen nur bereitgestellt werden.

Minimale tragfähige NDP-Sicherheit:

1. RA Guard auf allen Access-Switches aktivieren
2. Nur Uplink-Ports vertrauen
3. Auf Verletzungen überwachen
4. Auf Warnungen reagieren

Dies stoppt 95 % der NDP-Angriffe mit minimalem Aufwand. Fügen Sie DHCPv6 Guard, Source Guard und umfassende Überwachung für Tiefenverteidigung hinzu.

Warten Sie nicht auf einen Angriff, bevor Sie NDP-Sicherheit ernst nehmen. Ihr IPv4-Netzwerk hat Firewall-Regeln, Port-Sicherheit und DHCP-Snooping. IPv6 verdient dieselbe Aufmerksamkeit.

Verwandte Artikel#

• IPv6 Neighbor Discovery Protocol - Wie NDP funktioniert und warum es essentiell ist
• IPv6 Sicherheits-Best-Practices - Umfassender IPv6-Sicherheitsleitfaden
• IPv6-Firewall-Konfiguration - IPv6 am Netzwerkrand sichern

Häufig gestellte Fragen#