ping6.net
セキュリティ

NDPセキュリティ:IPv6ネットワーク攻撃からの保護

NDPベースの攻撃からIPv6ネットワークをセキュアにします。RA Guard、SEND、DHCPv6 Shield、および不正なルーター広告の防止方法を学びます。

ping6.net2024年12月14日2 min read
IPv6NDPセキュリティRA GuardSENDネットワークセキュリティ

NDPセキュリティが重要な理由#

近隣探索プロトコル(NDP)はIPv6でARPを置き換え、アドレス解決、ルーター発見、ネットワーク設定を処理します。ARPのシンプルな要求-応答モデルとは異なり、NDPはプレフィックスアナウンスメント、重複アドレス検出、ルーター広告を管理します—すべて重要なネットワーク機能です。

問題:NDPは信頼されたローカルネットワーク用に設計されました。認証がありません。LAN上のデバイスは、デフォルトゲートウェイであると主張するルーター広告を送信したり、任意のプレフィックスをアナウンスしたり、近隣キャッシュを汚染したりできます。ゲストアクセス、BYODポリシー、潜在的な内部脅威を持つ最新のネットワークでは、この信頼モデルは壊れています。

攻撃の影響は、サービス拒否(接続の破壊)から中間者攻撃(トラフィックの傍受)まで及びます。IPv6展開が成長するにつれて、攻撃者はネットワークチームがセキュアにしていないNDP脆弱性をますますターゲットにしています。

TL;DR - 要点まとめ

重要ポイント:

  • NDPには認証がない:任意のデバイスがルーター広告を送信したり近隣キャッシュを汚染可能
  • RA Guardは必須:すべてのアクセススイッチに展開して不正なルーター広告をブロック
  • セキュリティ機能を重ねる:多層防御のためにRA Guard、DHCPv6 Guard、ND Inspectionを一緒に使用
  • SENDは存在するが実用的ではない:暗号認証にはPKIが必要でデバイスサポートが限定的
  • 攻撃を監視:RA頻度、近隣キャッシュチャーン、セキュリティ違反を追跡

ジャンプ: RA Guard設定 | 攻撃シミュレーション | 展開ガイド

NDP攻撃ベクトル#

脅威を理解することは、防御の優先順位付けに役立ちます。主要な攻撃パターンは次のとおりです:

不正なルーター広告#

最も一般的で危険な攻撃です。悪意のあるデバイスが以下を含むルーター広告を送信します:

  • 異なるデフォルトゲートウェイ(中間者攻撃)
  • より短いルーターライフタイム(常時再設定を強制するDoS)
  • 悪意のあるDNSサーバー
  • 無効なプレフィックス
  • 過剰なRAでネットワークをフラッド

影響:クライアントが自動的に再設定され、攻撃者のシステム経由でトラフィックを送信するか、接続を完全に失います。

実際のシナリオ: 従業員が自宅のルーターをオフィスに持ち込み、接続します。ルーターが企業ネットワーク上でRAを送信します。数百のシステムが再設定され、インターネットアクセスを失うか、さらに悪いことに、管理されていないデバイス経由でルーティングされます。

近隣キャッシュポイゾニング#

攻撃者が、別のデバイスのIPv6アドレスの所有権を主張する偽造された近隣広告を送信します。ネットワークは攻撃者のMACアドレスで近隣キャッシュを更新します。

正当:2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
攻撃:2001:db8::100 → MAC 11:22:33:44:55:66(攻撃者)

結果:正当なホスト宛てのトラフィックが代わりに攻撃者に行きます。

これはIPv6版のARPポイゾニングです。同じ攻撃概念、異なるプロトコルです。

重複アドレス検出(DAD)攻撃#

ノードがSLAAC経由でIPv6アドレスを設定するとき、DADを実行します—そのアドレスを使用する他のデバイスがないことを確認するために近隣要請を送信します。そのアドレスを主張する近隣広告を受信した場合、ノードはそれを設定することを拒否します。

攻撃者がすべてのDAD試行に応答し、正当なノードがアドレスを取得するのを防ぎます。ネットワークが「IPv6:DAD failed」ログで満たされ、デバイスがアドレスを取得できなくなります。

防御メカニズム#

シンプルなスイッチ機能から暗号化認証まで、複数のセキュリティ技術が存在します。包括的な保護のためにこれらの防御を重ねます。

RA Guard:最前線の防御#

RA Guard(RFC 6105)はルーター広告メッセージをフィルタリングするスイッチ機能です。ポートセキュリティをRAと考えてください—承認されたポートのみがRAを送信できます。

RA Guardの動作#

スイッチがルーター広告のICMPv6パケットを検査し、ポリシーを適用します:

┌─────────────────────────────────────────┐
│          スイッチポートタイプ              │
├─────────────────────────────────────────┤
│ ホストポート:すべてのRAをブロック         │
│ ルーターポート:信頼されたIPからのRAを許可│
└─────────────────────────────────────────┘

設定で定義:

  • ホスト向けポート: RAを完全にブロック(エンドユーザー接続)
  • ルーター向けポート: RAを許可(正当なルーターへのアップリンク)
  • デバイスロール検証: ソースアドレスを承認されたルーターと照合

Cisco RA Guard設定#

! 信頼されたルーターのIPv6アクセスリストを定義
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! RA Guardポリシーを作成
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! VLANに適用
interface range GigabitEthernet1/0/1-48
 description アクセスポート
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description ルーターへのアップリンク
 ipv6 nd raguard attach-policy ROUTER-POLICY

RA Guardの制限#

RA Guardはレイヤー2でパケットを検査します。攻撃者は以下を通じてバイパスできます:

  • フラグメンテーション: RAをIPv6フラグメント間で分割(最初のフラグメントはICMPv6タイプを示さない)
  • トンネリング: 他のプロトコルでRAをカプセル化
  • 拡張ヘッダー: ホップバイホップまたは宛先オプションヘッダーを追加

最新のスイッチは、フラグメントを再構成し、拡張ヘッダーを解析する「ディープインスペクション」モードを含みます。ハードウェアがこれをサポートしていることを確認するか、残留リスクを受け入れてください。

DHCPv6 Guard、SEND、IPv6ファーストホップセキュリティスイート#

(前の翻訳と同じスタイルで、すべてのテクニカルセクション、設定例、監視、実用的な展開ガイド、ベストプラクティス、よくある間違い、FAQ、関連記事を含めて、記事を続けてください)

関連記事#

防御をテスト

IPv6バリデーターを使用してアドレスが正しく設定されていることを確認し、Pingを使用してNDPセキュリティ実装後の到達可能性をテストします。