Sécurité NDP : protection contre les attaques réseau IPv6

Le protocole de découverte de voisins (NDP) remplace ARP dans IPv6, gérant la résolution d'adresses, la découverte de routeurs et la configuration réseau. Contrairement au modèle simple requête-réponse d'ARP, NDP gère les annonces de préfixes, la détection d'adresses dupliquées et les annonces de routeur — toutes des fonctions réseau critiques.

Le problème : NDP a été conçu pour des réseaux locaux de confiance. Il n'a pas d'authentification. N'importe quel appareil sur votre LAN peut envoyer des annonces de routeur prétendant être la passerelle par défaut, annoncer des préfixes arbitraires ou empoisonner les caches de voisins. Dans les réseaux modernes avec accès invité, politiques BYOD et menaces internes potentielles, ce modèle de confiance est défaillant.

L'impact des attaques va du déni de service (rupture de connectivité) aux attaques de type man-in-the-middle (interception du trafic). À mesure que le déploiement d'IPv6 se développe, les attaquants ciblent de plus en plus les vulnérabilités NDP que les équipes réseau n'ont pas sécurisées.

Pourquoi la sécurité NDP est importante#

Le protocole de découverte de voisins (NDP) remplace ARP dans IPv6, gérant la résolution d'adresses, la découverte de routeurs et la configuration réseau. Contrairement au modèle simple requête-réponse d'ARP, NDP gère les annonces de préfixes, la détection d'adresses dupliquées et les annonces de routeur — toutes des fonctions réseau critiques.

Le problème : NDP a été conçu pour des réseaux locaux de confiance. Il n'a pas d'authentification. N'importe quel appareil sur votre LAN peut envoyer des annonces de routeur prétendant être la passerelle par défaut, annoncer des préfixes arbitraires ou empoisonner les caches de voisins. Dans les réseaux modernes avec accès invité, politiques BYOD et menaces internes potentielles, ce modèle de confiance est défaillant.

L'impact des attaques va du déni de service (rupture de connectivité) aux attaques de type man-in-the-middle (interception du trafic). À mesure que le déploiement d'IPv6 se développe, les attaquants ciblent de plus en plus les vulnérabilités NDP que les équipes réseau n'ont pas sécurisées.

Vecteurs d'attaque NDP#

Comprendre les menaces aide à prioriser les défenses. Voici les principaux schémas d'attaque :

Annonces de routeur malveillantes#

L'attaque la plus courante et dangereuse. Un appareil malveillant envoie des annonces de routeur (RA) avec :

• Une passerelle par défaut différente (man-in-the-middle)
• Une durée de vie de routeur plus courte (DoS en forçant une reconfiguration constante)
• Des serveurs DNS malveillants
• Des préfixes invalides
• Des RA excessives inondant le réseau

Impact : les clients se reconfigurent automatiquement, envoyant le trafic via le système de l'attaquant ou perdant complètement la connectivité.

Scénario réel : Un employé apporte un routeur domestique au bureau et le branche. Le routeur envoie des RA sur le réseau d'entreprise. Des centaines de systèmes se reconfigurent, perdant l'accès Internet ou pire, routant via l'appareil non géré.

Empoisonnement du cache de voisins#

Les attaquants envoient des annonces de voisins usurpées revendiquant la propriété de l'adresse IPv6 d'un autre appareil. Le réseau met à jour son cache de voisins avec l'adresse MAC de l'attaquant.

Légitime: 2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
Attaque:  2001:db8::100 → MAC 11:22:33:44:55:66 (attaquant)

Résultat : le trafic destiné à l'hôte légitime va à l'attaquant à la place.

C'est la version IPv6 de l'empoisonnement ARP. Même concept d'attaque, protocole différent.

Attaques de détection d'adresses dupliquées (DAD)#

Lorsqu'un nœud configure une adresse IPv6 via SLAAC, il effectue DAD — envoyant des sollicitations de voisins pour vérifier qu'aucun autre appareil n'utilise cette adresse. S'il reçoit une annonce de voisin revendiquant cette adresse, le nœud refuse de la configurer.

Les attaquants répondent à toutes les tentatives DAD, empêchant les nœuds légitimes d'obtenir des adresses. Votre réseau se remplit de journaux « IPv6: DAD failed » et les appareils ne peuvent pas obtenir d'adresses.

Attaques de messages de redirection#

Les routeurs envoient des messages de redirection ICMPv6 indiquant aux hôtes des options de saut suivant meilleures. Sans authentification, les attaquants forgent des redirections pour détourner les flux de trafic.

Moins courant que les attaques RA mais tout aussi dangereux lorsqu'il cible des communications spécifiques.

Inondation de sollicitations de routeur#

Bien que moins impactant, les attaquants peuvent inonder le réseau de sollicitations de routeur, faisant perdre aux routeurs légitimes des ressources en générant des réponses. Combiné avec d'autres attaques, cela amplifie la perturbation.

Mécanismes de défense#

Plusieurs technologies de sécurité existent, des fonctionnalités simples de commutateur à l'authentification cryptographique. Superposez ces défenses pour une protection complète.

RA Guard : première ligne de défense#

RA Guard (RFC 6105) est une fonctionnalité de commutateur qui filtre les messages d'annonce de routeur. Pensez-y comme une sécurité de port pour les RA — seuls les ports autorisés peuvent les envoyer.

Comment fonctionne RA Guard#

Le commutateur inspecte les paquets ICMPv6 pour les annonces de routeur et applique une politique :

┌─────────────────────────────────────────┐
│          Types de port de commutateur   │
├─────────────────────────────────────────┤
│ Port hôte: Bloquer tous les RA          │
│ Port routeur: Autoriser les RA depuis   │
│              des IP de confiance         │
└─────────────────────────────────────────┘

La configuration définit :

• Ports orientés hôte : Bloquer complètement les RA (connexions utilisateur final)
• Ports orientés routeur : Autoriser les RA (liaison montante vers routeurs légitimes)
• Vérification du rôle de l'appareil : Faire correspondre les adresses sources avec les routeurs autorisés

Configuration RA Guard Cisco#

! Define IPv6 access list for trusted routers
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! Create RA Guard policy
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! Apply to VLANs
interface range GigabitEthernet1/0/1-48
 description Access ports
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description Uplink to router
 ipv6 nd raguard attach-policy ROUTER-POLICY

Configuration RA Guard Juniper#

# Define RA Guard on access ports
set protocols router-advertisement interface ge-0/0/0.0 no-advertise
 
# Allow RAs on uplink
set protocols router-advertisement interface ge-0/0/23.0

RA Guard Linux Bridge#

Pour les commutateurs basés sur Linux ou la virtualisation KVM :

# Enable RA Guard on bridge port
echo 1 > /sys/class/net/vnet0/brport/protect_ra
 
# Or use ebtables
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp \
  --ip6-icmp-type router-advertisement -i vnet0 -j DROP

Limitations de RA Guard#

RA Guard inspecte les paquets au niveau 2. Les attaquants peuvent le contourner via :

• Fragmentation : Diviser le RA en fragments IPv6 (le premier fragment ne montre pas le type ICMPv6)
• Tunneling : Encapsuler les RA dans d'autres protocoles
• En-têtes d'extension : Ajouter des en-têtes d'options hop-by-hop ou de destination

Les commutateurs modernes incluent des modes « inspection profonde » qui réassemblent les fragments et analysent les en-têtes d'extension. Vérifiez que votre matériel supporte cela ou acceptez le risque résiduel.

DHCPv6 Guard#

Similaire à RA Guard, DHCPv6 Guard bloque les messages serveur DHCPv6 depuis les ports non autorisés. Cela empêche les serveurs DHCPv6 malveillants d'émettre des adresses ou des configurations DNS.

DHCPv6 Guard Cisco#

ipv6 dhcp guard policy CLIENT-POLICY
 device-role client
 
ipv6 dhcp guard policy SERVER-POLICY
 device-role server
 
interface range GigabitEthernet1/0/1-48
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 
interface GigabitEthernet1/0/49
 ipv6 dhcp guard attach-policy SERVER-POLICY

DHCPv6 Guard opère sur ces types de messages :

• ADVERTISE (serveur → client)
• REPLY (serveur → client)
• RECONFIGURE (serveur → client)

Bloquer ces messages depuis les ports hôtes empêche les serveurs DHCPv6 malveillants tout en autorisant les requêtes clients légitimes.

SEND : authentification cryptographique#

Secure Neighbor Discovery (SEND, RFC 3971) ajoute des signatures cryptographiques aux messages NDP. Il fournit une authentification forte mais nécessite une infrastructure PKI et n'est pas largement déployé.

Comment fonctionne SEND#

SEND utilise CGA (Cryptographically Generated Addresses) où l'adresse IPv6 est cryptographiquement liée à une clé publique :

1. Le nœud génère une paire de clés publique/privée
2. Crée une adresse IPv6 avec le hachage de la clé publique dans l'ID d'interface
3. Signe les messages NDP avec la clé privée
4. Les destinataires vérifient que la signature correspond à l'adresse

┌─────────────────────────────────────────────────┐
│ Router Advertisement (avec SEND)                │
├─────────────────────────────────────────────────┤
│ Champs RA standard                              │
│ + Paramètres CGA (clé publique, modificateur)  │
│ + Signature RSA                                 │
│ + Horodatage                                    │
│ + Nonce (pour protection contre rejeu)         │
└─────────────────────────────────────────────────┘

Pourquoi SEND n'est pas répandu#

Malgré sa normalisation depuis 2005, l'adoption de SEND reste minimale :

Avantages :

• Cryptographiquement sécurisé (impossible d'usurper sans clé privée)
• Aucun support de commutateur requis (sécurité de bout en bout)
• Protège tous les types de messages NDP

Inconvénients :

• Exigence d'infrastructure PKI complexe
• Support OS limité (quelques implémentations existent, rarement activées par défaut)
• Surcharge de performance de la vérification de signature
• Problèmes de rétrocompatibilité (les nœuds SEND et non-SEND n'interopèrent pas bien)
• Complexité de gestion d'adresses (les adresses CGA ne sont pas conviviales)

La plupart des organisations trouvent RA Guard et DHCPv6 Guard suffisants avec un meilleur rapport coût-bénéfice.

Quand considérer SEND#

Environnements hautement sécurisés où :

• Vous contrôlez tous les points de terminaison (pouvez imposer SEND partout)
• L'infrastructure PKI existe déjà
• L'impact sur les performances est acceptable
• La conformité réglementaire exige une protection cryptographique NDP

Suite de sécurité IPv6 de premier saut#

Les commutateurs modernes regroupent les fonctionnalités de sécurité NDP en sécurité de premier saut complète :

IPv6 Source Guard#

Valide que l'adresse IPv6 source et l'adresse MAC correspondent aux liaisons apprises via :

• Snooping NDP (suivi des annonces de voisins légitimes)
• Snooping DHCPv6 (suivi des attributions d'adresses)
• Liaisons manuelles

Bloque les paquets avec des adresses sources usurpées.

IPv6 Prefix Guard#

Valide les annonces de routeur et les messages de délégation de préfixe DHCPv6 contre les politiques de préfixe configurées. Empêche les attaquants d'annoncer des préfixes non autorisés.

IPv6 Destination Guard#

Impose que les adresses de destination dans les paquets correspondent à la table de liaison de découverte de voisins. Empêche le trafic vers des adresses inexistantes (utilisé dans certaines attaques DoS).

ND Inspection#

Espionne tous les messages NDP et construit des tables de liaison mappant adresse IPv6 → adresse MAC → port. D'autres fonctionnalités de sécurité référencent ces liaisons pour validation.

Configuration FHS Cisco complète#

! Enable IPv6 on the switch
ipv6 unicast-routing
 
! Create FHS policy
ipv6 access-list ipv6-acl-fhs
 permit ipv6 any any
 
ipv6 nd inspection policy FHS-POLICY
 device-role switch
 drop-unsecure
 limit address-count 1000
 tracking enable
 
ipv6 snooping policy FHS-SNOOPING
 device-role switch
 
! Apply to VLAN
vlan configuration 10
 ipv6 nd inspection attach-policy FHS-POLICY
 ipv6 snooping attach-policy FHS-SNOOPING
 
! Configure trusted ports
interface GigabitEthernet1/0/49
 ipv6 nd inspection trust
 ipv6 snooping trust

Surveillance et détection#

La prévention ne suffit pas. Surveillez les tentatives d'attaque et les anomalies.

Métriques clés à suivre#

Activité d'annonce de routeur :

# Monitor RA frequency
rdisc6 eth0
 
# Attendu: RA toutes les 200-600 secondes depuis routeurs connus
# Alerte: Plusieurs RA par seconde, RA de sources inconnues

Taux de messages de découverte de voisins :

# Linux packet counting
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "RA: "
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j LOG --log-prefix "NA: "
 
# Watch logs
journalctl -f | grep -E "RA:|NA:"

Agitation du cache de voisins :

# Monitor neighbor table changes
watch -n 1 "ip -6 neigh show | wc -l"
 
# Une forte agitation indique un empoisonnement possible

Violations de sécurité du commutateur#

Surveillez les violations RA Guard et DHCPv6 Guard :

# Cisco
show ipv6 nd raguard policy
show ipv6 dhcp guard policy
 
# Recherchez les compteurs de rejet qui augmentent
show platform hardware fed switch active qos queue stats internal cpu policer

Intégration SIEM#

Transmettez les événements de sécurité à votre SIEM :

Règles de détection :

• Plusieurs annonces de routeur de différentes sources dans un court laps de temps
• RA avec durées de vie inhabituelles (très courtes ou très longues)
• Taux élevé de sollicitations de voisins (attaque DAD potentielle)
• RA depuis adresses sources inattendues
• Messages serveur DHCPv6 depuis ports hôtes

Exemple de requête Splunk :

index=network sourcetype=cisco:ios ipv6 "RA Guard" action=dropped
| stats count by src_ip, interface
| where count > 10

Outils de sécurité dédiés#

ndpmon : Démon de surveillance NDP open-source

# Install
apt-get install ndpmon
 
# Configure allowed routers in /etc/ndpmon/config_ndpmon.xml
<router>
  <mac>aa:bb:cc:dd:ee:ff</mac>
  <lla>fe80::1</lla>
</router>
 
# Start monitoring
ndpmon -c /etc/ndpmon/config_ndpmon.xml

Alerte sur :

• RA malveillants
• Changements de préfixe inattendus
• Changements de liaison MAC/IPv6
• Attaques DAD

Guide de déploiement pratique#

Implémentez la sécurité NDP systématiquement pour éviter de perturber le trafic légitime.

Phase 1 : visibilité (semaine 1)#

Objectif : Comprendre le comportement NDP actuel

1. Activer la journalisation NDP sur les commutateurs
2. Déployer ndpmon ou similaire sur chaque VLAN
3. Documenter tous les routeurs légitimes (MAC, adresse IPv6)
4. Capturer une semaine de trafic RA/NA de référence
5. Identifier toutes sources inattendues

Phase 2 : protection passive (semaine 2)#

Objectif : Activer la détection sans application

1. Configurer RA Guard en mode surveillance (si supporté)
2. Configurer l'alerte pour les violations
3. Vérifier l'absence de faux positifs de l'infrastructure légitime
4. Ajuster les politiques en fonction des alertes

Phase 3 : protection active (semaine 3-4)#

Objectif : Appliquer les politiques de sécurité

1. Activer RA Guard en mode blocage sur VLAN de test
2. Vérifier la connectivité client et l'attribution d'adresse
3. Étendre aux VLAN de production progressivement
4. Ajouter DHCPv6 Guard et autres fonctionnalités FHS
5. Documenter les exceptions et ports de confiance

Phase 4 : gestion continue#

Objectif : Maintenir la posture de sécurité

1. Examiner les journaux de violation hebdomadairement
2. Mettre à jour les listes de routeurs de confiance lors de changements d'infrastructure
3. Tester la sécurité lors des évaluations de vulnérabilité
4. Former l'équipe sur les concepts de sécurité NDP

Bonnes pratiques de configuration#

Pour les commutateurs d'accès#

! Position par défaut: tous les ports sont orientés hôte
ipv6 nd raguard policy DEFAULT-HOST
 device-role host
 
! Apply to all ports by default
interface range GigabitEthernet1/0/1-48
 ipv6 nd raguard attach-policy DEFAULT-HOST
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 ipv6 snooping
 
! Explicitly trust uplinks (use manual override)
interface GigabitEthernet1/0/49
 description Uplink to distribution
 ipv6 nd raguard attach-policy ROUTER-POLICY
 ipv6 dhcp guard attach-policy SERVER-POLICY
 ipv6 snooping trust

Principe : Refuser par défaut, permettre explicitement.

Pour distribution/cœur#

! Less restrictive since infrastructure is controlled
! But still validate sources
ipv6 nd raguard policy INFRA-POLICY
 device-role router
 match ipv6 access-list KNOWN-ROUTERS

Pour contrôleurs sans fil#

Les réseaux invités sont particulièrement vulnérables :

! Strict RA blocking on guest SSID
ipv6 nd raguard policy GUEST-POLICY
 device-role host
 no-ra

Pour centres de données#

Les environnements virtualisés nécessitent RA Guard sur les commutateurs virtuels :

VMware :

• vSphere 6.5+ supporte les politiques de sécurité IPv6
• Configurer RA Guard sur commutateur virtuel distribué
• Appliquer à tous les VLAN invités

KVM/ponts Linux :

# Enable RA protection on all VM interfaces
for interface in /sys/class/net/vnet*/brport/protect_ra; do
  echo 1 > "$interface"
done

Simulation d'attaque pour les tests#

Vérifiez que vos défenses fonctionnent avant qu'un attaquant ne les teste pour vous.

Tester RA Guard#

Utilisez radvd pour envoyer des annonces de routeur de test depuis un port hôte :

# Install radvd
apt-get install radvd
 
# Configure test RA (/etc/radvd.conf)
interface eth0 {
  AdvSendAdvert on;
  prefix 2001:db8:bad::/64 {
    AdvOnLink on;
    AdvAutonomous on;
  };
};
 
# Start radvd
systemctl start radvd
 
# Attendu: RA Guard bloque ces messages
# Vérifiez: Consultez les journaux du commutateur pour violations

Tester ND Inspection#

Tentez un empoisonnement du cache de voisins :

# Send spoofed Neighbor Advertisement
ndsend eth0 2001:db8::victim -a aa:bb:cc:dd:ee:ff --na-override
 
# Attendu: Source Guard ou ND Inspection bloque
# Vérifiez: Cache de voisins inchangé sur la cible

Outils de test professionnels#

Boîte à outils d'attaque THC IPv6 :

# Install
apt-get install thc-ipv6
 
# Test RA flooding
flood_router6 eth0
 
# Test DAD attack
dos-new-ip6 eth0
 
# Attendu: Toutes les attaques bloquées par fonctionnalités FHS

Scapy pour tests personnalisés :

from scapy.all import *
 
# Craft malicious RA
ra = IPv6(dst="ff02::1")/ICMPv6ND_RA()/ICMPv6NDOptPrefixInfo(prefix="2001:db8:bad::")
send(ra, iface="eth0")

Effectuez des tests d'attaque uniquement sur des réseaux de test isolés ou avec autorisation explicite.

Erreurs courantes#

1. Oublier la confiance de la liaison montante#

Configurer RA Guard sur tous les ports sans faire explicitement confiance aux liaisons montantes bloque les RA légitimes. Votre réseau entier perd la connectivité IPv6.

Symptôme : Les clients arrêtent de recevoir des adresses après activation de RA Guard.

Solution : Identifier et faire confiance aux ports connectés aux routeurs légitimes.

2. Couverture VLAN incohérente#

Appliquer la sécurité à certains VLAN mais pas à d'autres. Les attaquants se connectent aux VLAN non protégés et pivotent.

Solution : Appliquer les politiques de sécurité de premier saut à tous les VLAN, y compris les réseaux de gestion.

3. Ne pas tester avant la production#

Activer le mode blocage sans test provoque des pannes lorsque le trafic légitime est filtré.

Solution : Toujours tester en environnement de laboratoire ou mode surveillance d'abord.

4. Ignorer les réseaux sans fil#

Les contrôleurs et points d'accès sans fil contournent souvent RA Guard s'ils ne sont pas configurés correctement.

Solution : Vérifier que les politiques de sécurité s'appliquent aux VLAN sans fil. Tester depuis les clients WiFi.

5. Négliger les environnements virtuels#

Les VM peuvent envoyer des RA dans les commutateurs virtuels, attaquant d'autres VM sur le même hôte.

Solution : Activer la protection RA sur les commutateurs virtuels et le réseau de l'hyperviseur.

Quand la sécurité casse les cas d'usage légitimes#

Certains scénarios nécessitent des RA depuis les ports hôtes :

Routeurs en mode pont#

Les petits routeurs en mode pont/passthrough relaient les RA depuis l'amont.

Solution : Faire explicitement confiance à ces ports ou utiliser une conception réseau différente.

Environnements de laboratoire routeur#

Tester OSPF, BGP ou configurations routeur nécessite d'envoyer des RA.

Solution : Politique de sécurité dédiée pour les VLAN de laboratoire autorisant les RA de toute source.

Partage de connexion hotspot mobile#

Les smartphones fournissant une fonctionnalité hotspot envoient des RA.

Solution : Les réseaux invités peuvent autoriser cela, mais les réseaux d'entreprise devraient le bloquer.

Documentez toutes les exceptions et examinez régulièrement.

L'avenir : travaux en cours#

La sécurité NDP évolue mais les défis demeurent :

Développements positifs :

• Déploiement RA Guard plus large
• Support amélioré des commutateurs pour inspection profonde
• Meilleure intégration avec les flux de travail SIEM/SOC

Défis continus :

• Adoption SEND toujours minimale
• Beaucoup d'appareils IoT manquent de sensibilisation à la sécurité
• Complexité opérationnelle vs. ARP plus simple d'IPv4

Technologies émergentes :

• Réseau défini par logiciel (SDN) permettant des politiques de sécurité plus flexibles
• Apprentissage automatique pour détection d'anomalies dans le trafic NDP
• Réponse automatisée aux attaques détectées

Commencez à sécuriser NDP maintenant#

Les attaques NDP sont réelles et en augmentation. Les mécanismes de sécurité existent et fonctionnent — ils ont juste besoin d'être déployés.

Sécurité NDP minimale viable :

1. Activer RA Guard sur tous les commutateurs d'accès
2. Faire confiance uniquement aux ports de liaison montante
3. Surveiller les violations
4. Répondre aux alertes

Cela arrête 95% des attaques NDP avec un effort minimal. Ajoutez DHCPv6 Guard, Source Guard et surveillance complète pour une défense en profondeur.

N'attendez pas une attaque pour commencer à prendre la sécurité NDP au sérieux. Votre réseau IPv4 a des règles de pare-feu, sécurité de port et snooping DHCP. IPv6 mérite la même attention.

Articles connexes#

• Protocole de découverte de voisins IPv6 - Comment fonctionne NDP et pourquoi c'est essentiel
• Meilleures pratiques de sécurité IPv6 - Guide complet de sécurité IPv6
• Configuration pare-feu IPv6 - Sécuriser IPv6 en périphérie réseau

Questions fréquemment posées#