Segurança NDP: Proteção Contra Ataques de Rede IPv6

Por Que a Segurança NDP É Importante#

O Neighbor Discovery Protocol (NDP) substitui o ARP no IPv6, lidando com resolução de endereços, descoberta de routers e configuração de rede. Ao contrário do modelo simples de pedido-resposta do ARP, o NDP gere anúncios de prefixos, deteção de endereços duplicados e anúncios de router — todas funções de rede críticas.

O problema: o NDP foi projetado para redes locais confiáveis. Não tem autenticação. Qualquer dispositivo na sua LAN pode enviar Router Advertisements alegando ser o gateway padrão, anunciar prefixos arbitrários ou envenenar caches de vizinhos. Em redes modernas com acesso de convidados, políticas BYOD e potenciais ameaças internas, este modelo de confiança quebra.

O impacto do ataque varia de negação de serviço (quebrar conectividade) a ataques man-in-the-middle (intercetar tráfego). À medida que a implementação IPv6 cresce, atacantes visam cada vez mais vulnerabilidades NDP que equipas de rede não protegeram.

Vetores de Ataque NDP#

Compreender as ameaças ajuda a priorizar defesas. Aqui estão os padrões de ataque primários:

Router Advertisements Maliciosos#

O ataque mais comum e perigoso. Um dispositivo malicioso envia Router Advertisements (RA) com:

• Gateway padrão diferente (man-in-the-middle)
• Tempo de vida de router mais curto (DoS forçando reconfiguração constante)
• Servidores DNS maliciosos
• Prefixos inválidos
• RAs excessivos inundando a rede

Impacto: clientes reconfiguram-se automaticamente, enviando tráfego através do sistema do atacante ou perdendo conectividade completamente.

Cenário do mundo real: Um funcionário traz um router doméstico para o escritório e liga-o. O router envia RAs na rede corporativa. Centenas de sistemas reconfiguram-se, perdendo acesso à Internet ou pior, roteando através do dispositivo não gerido.

Envenenamento de Cache de Vizinhos#

Atacantes enviam Neighbor Advertisements falsificados alegando propriedade do endereço IPv6 de outro dispositivo. A rede atualiza o seu cache de vizinhos com o endereço MAC do atacante.

Legítimo: 2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
Ataque:   2001:db8::100 → MAC 11:22:33:44:55:66 (atacante)

Resultado: tráfego destinado ao host legítimo vai para o atacante.

Esta é a versão IPv6 do envenenamento ARP. Mesmo conceito de ataque, protocolo diferente.

Ataques de Deteção de Endereços Duplicados (DAD)#

Quando um nó configura um endereço IPv6 via SLAAC, executa DAD — enviando Neighbor Solicitations para verificar que nenhum outro dispositivo usa aquele endereço. Se recebe um Neighbor Advertisement alegando aquele endereço, o nó recusa-se a configurá-lo.

Atacantes respondem a todas as tentativas DAD, impedindo nós legítimos de obter endereços. A sua rede enche-se de logs «IPv6: DAD failed» e dispositivos não conseguem obter endereços.

Ataques de Mensagens Redirect#

Routers enviam mensagens ICMPv6 Redirect informando hosts sobre melhores opções de next-hop. Sem autenticação, atacantes forjam redirects para sequestrar fluxos de tráfego.

Menos comum que ataques RA mas igualmente perigoso ao visar comunicações específicas.

Inundação de Router Solicitation#

Embora menos impactante, atacantes podem inundar a rede com Router Solicitations, fazendo com que routers legítimos desperdicem recursos gerando respostas. Combinado com outros ataques, isto amplifica a disrupção.

Mecanismos de Defesa#

Existem múltiplas tecnologias de segurança, desde funcionalidades simples de switch a autenticação criptográfica. Combine estas defesas para proteção abrangente.

RA Guard: Primeira Linha de Defesa#

RA Guard (RFC 6105) é uma funcionalidade de switch que filtra mensagens Router Advertisement. Pense nisto como segurança de porta para RAs — apenas portas autorizadas podem enviá-los.

Como o RA Guard Funciona#

O switch inspeciona pacotes ICMPv6 para Router Advertisements e aplica política:

┌─────────────────────────────────────────┐
│          Tipos de Porta de Switch       │
├─────────────────────────────────────────┤
│ Porta Host: Bloquear todos os RAs      │
│ Porta Router: Permitir RAs de IPs      │
│              confiáveis                 │
└─────────────────────────────────────────┘

A configuração define:

• Portas viradas para hosts: Bloquear RAs completamente (conexões de utilizadores finais)
• Portas viradas para routers: Permitir RAs (uplink para routers legítimos)
• Verificação de função de dispositivo: Corresponder endereços de origem contra routers autorizados

Configuração RA Guard Cisco#

! Definir lista de acesso IPv6 para routers confiáveis
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! Criar política RA Guard
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! Aplicar a VLANs
interface range GigabitEthernet1/0/1-48
 description Access ports
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description Uplink to router
 ipv6 nd raguard attach-policy ROUTER-POLICY

Configuração RA Guard Juniper#

# Definir RA Guard em portas de acesso
set protocols router-advertisement interface ge-0/0/0.0 no-advertise
 
# Permitir RAs em uplink
set protocols router-advertisement interface ge-0/0/23.0

RA Guard Bridge Linux#

Para switches baseados em Linux ou virtualização KVM:

# Ativar RA Guard em porta de bridge
echo 1 > /sys/class/net/vnet0/brport/protect_ra
 
# Ou usar ebtables
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp \
  --ip6-icmp-type router-advertisement -i vnet0 -j DROP

Limitações do RA Guard#

O RA Guard inspeciona pacotes na Camada 2. Atacantes podem contorná-lo através de:

• Fragmentação: Dividir RA através de fragmentos IPv6 (primeiro fragmento não mostra tipo ICMPv6)
• Tunelamento: Encapsular RAs noutros protocolos
• Cabeçalhos de extensão: Adicionar cabeçalhos hop-by-hop ou destination options

Switches modernos incluem modos de «inspeção profunda» que reagrupam fragmentos e analisam cabeçalhos de extensão. Verifique se o seu hardware suporta isto ou aceite risco residual.

DHCPv6 Guard#

Semelhante ao RA Guard, DHCPv6 Guard bloqueia mensagens de servidor DHCPv6 de portas não autorizadas. Isto previne servidores DHCPv6 maliciosos de emitirem endereços ou configurações DNS.

DHCPv6 Guard Cisco#

ipv6 dhcp guard policy CLIENT-POLICY
 device-role client
 
ipv6 dhcp guard policy SERVER-POLICY
 device-role server
 
interface range GigabitEthernet1/0/1-48
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 
interface GigabitEthernet1/0/49
 ipv6 dhcp guard attach-policy SERVER-POLICY

DHCPv6 Guard opera nestes tipos de mensagem:

• ADVERTISE (servidor → cliente)
• REPLY (servidor → cliente)
• RECONFIGURE (servidor → cliente)

Bloquear estes de portas host previne servidores DHCPv6 maliciosos enquanto permite pedidos de cliente legítimos.

SEND: Autenticação Criptográfica#

Secure Neighbor Discovery (SEND, RFC 3971) adiciona assinaturas criptográficas a mensagens NDP. Fornece autenticação forte mas requer infraestrutura PKI e não está amplamente implementado.

Como o SEND Funciona#

SEND usa CGA (Cryptographically Generated Addresses) onde o endereço IPv6 vincula-se criptograficamente a uma chave pública:

1. Nó gera par de chaves pública/privada
2. Cria endereço IPv6 com hash de chave pública no ID de interface
3. Assina mensagens NDP com chave privada
4. Destinatários verificam que assinatura corresponde ao endereço

┌─────────────────────────────────────────────────┐
│ Router Advertisement (com SEND)                 │
├─────────────────────────────────────────────────┤
│ Campos RA padrão                                │
│ + Parâmetros CGA (chave pública, modificador)   │
│ + Assinatura RSA                                │
│ + Timestamp                                     │
│ + Nonce (para proteção contra replay)          │
└─────────────────────────────────────────────────┘

Por Que o SEND Não É Generalizado#

Apesar de estar normalizado desde 2005, a adoção de SEND permanece mínima:

Prós:

• Criptograficamente seguro (não pode falsificar sem chave privada)
• Não requer suporte de switch (segurança ponta a ponta)
• Protege todos os tipos de mensagem NDP

Contras:

• Requisito de infraestrutura PKI complexa
• Suporte limitado em SO (algumas implementações existem, raramente ativadas por padrão)
• Overhead de desempenho de verificação de assinatura
• Problemas de retrocompatibilidade (nós SEND e não-SEND não interoperam bem)
• Complexidade de gestão de endereços (endereços CGA não são amigáveis para humanos)

A maioria das organizações considera RA Guard e DHCPv6 Guard suficientes com melhor relação custo-benefício.

Quando Considerar SEND#

Ambientes altamente seguros onde:

• Controla todos os endpoints (pode impor SEND em todo o lado)
• Infraestrutura PKI já existe
• Impacto de desempenho é aceitável
• Conformidade regulamentar requer proteção NDP criptográfica

Suite de Segurança First-Hop IPv6#

Switches modernos agrupam funcionalidades de segurança NDP em segurança first-hop abrangente:

IPv6 Source Guard#

Valida que endereço IPv6 de origem e endereço MAC correspondem a vinculações aprendidas através de:

• NDP snooping (rastreando Neighbor Advertisements legítimos)
• DHCPv6 snooping (rastreando atribuições de endereços)
• Vinculações manuais

Bloqueia pacotes com endereços de origem falsificados.

IPv6 Prefix Guard#

Valida Router Advertisements e mensagens DHCPv6 Prefix Delegation contra políticas de prefixo configuradas. Previne atacantes de anunciarem prefixos não autorizados.

IPv6 Destination Guard#

Impõe que endereços de destino em pacotes correspondam à tabela de vinculação de descoberta de vizinhos. Previne tráfego para endereços inexistentes (usado em alguns ataques DoS).

ND Inspection#

Espia todas as mensagens NDP e constrói tabelas de vinculação mapeando endereço IPv6 → endereço MAC → porta. Outras funcionalidades de segurança referenciam estas vinculações para validação.

Configuração FHS Completa Cisco#

! Ativar IPv6 no switch
ipv6 unicast-routing
 
! Criar política FHS
ipv6 access-list ipv6-acl-fhs
 permit ipv6 any any
 
ipv6 nd inspection policy FHS-POLICY
 device-role switch
 drop-unsecure
 limit address-count 1000
 tracking enable
 
ipv6 snooping policy FHS-SNOOPING
 device-role switch
 
! Aplicar a VLAN
vlan configuration 10
 ipv6 nd inspection attach-policy FHS-POLICY
 ipv6 snooping attach-policy FHS-SNOOPING
 
! Configurar portas confiáveis
interface GigabitEthernet1/0/49
 ipv6 nd inspection trust
 ipv6 snooping trust

Monitorização e Deteção#

Prevenção não é suficiente. Monitorize tentativas de ataque e anomalias.

Métricas Chave para Rastrear#

Atividade Router Advertisement:

# Monitorizar frequência RA
rdisc6 eth0
 
# Esperado: RAs a cada 200-600 segundos de routers conhecidos
# Alerta: Múltiplos RAs por segundo, RAs de origens desconhecidas

Taxas de Mensagem Neighbor Discovery:

# Contagem de pacotes Linux
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "RA: "
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j LOG --log-prefix "NA: "
 
# Observar logs
journalctl -f | grep -E "RA:|NA:"

Churn de Cache de Vizinhos:

# Monitorizar mudanças na tabela de vizinhos
watch -n 1 "ip -6 neigh show | wc -l"
 
# Alto churn indica possível envenenamento

Violações de Segurança em Switch#

Monitorize violações de RA Guard e DHCPv6 Guard:

# Cisco
show ipv6 nd raguard policy
show ipv6 dhcp guard policy
 
# Procurar contadores de drop a incrementar
show platform hardware fed switch active qos queue stats internal cpu policer

Integração SIEM#

Encaminhe eventos de segurança para o seu SIEM:

Regras de deteção:

• Múltiplos Router Advertisements de diferentes origens em curto espaço de tempo
• RAs com tempos de vida invulgares (muito curtos ou muito longos)
• Alta taxa de Neighbor Solicitations (potencial ataque DAD)
• RAs de endereços de origem inesperados
• Mensagens de servidor DHCPv6 de portas host

Exemplo de query Splunk:

index=network sourcetype=cisco:ios ipv6 "RA Guard" action=dropped
| stats count by src_ip, interface
| where count > 10

Ferramentas de Segurança Dedicadas#

ndpmon: Daemon de monitorização NDP open-source

# Instalar
apt-get install ndpmon
 
# Configurar routers permitidos em /etc/ndpmon/config_ndpmon.xml
<router>
  <mac>aa:bb:cc:dd:ee:ff</mac>
  <lla>fe80::1</lla>
</router>
 
# Iniciar monitorização
ndpmon -c /etc/ndpmon/config_ndpmon.xml

Alerta sobre:

• RAs maliciosos
• Mudanças de prefixo inesperadas
• Mudanças de vinculação MAC/IPv6
• Ataques DAD

Guia Prático de Implementação#

Implemente segurança NDP sistematicamente para evitar perturbar tráfego legítimo.

Fase 1: Visibilidade (Semana 1)#

Objetivo: Compreender comportamento NDP atual

1. Ativar logging NDP em switches
2. Implementar ndpmon ou similar em cada VLAN
3. Documentar todos os routers legítimos (MAC, endereço IPv6)
4. Capturar uma semana de tráfego RA/NA de base
5. Identificar quaisquer origens inesperadas

Fase 2: Proteção Passiva (Semana 2)#

Objetivo: Ativar deteção sem imposição

1. Configurar RA Guard em modo monitor (se suportado)
2. Configurar alertas para violações
3. Verificar sem falsos positivos de infraestrutura legítima
4. Afinar políticas baseadas em alertas

Fase 3: Proteção Ativa (Semana 3-4)#

Objetivo: Impor políticas de segurança

1. Ativar RA Guard em modo de bloqueio em VLAN de teste
2. Verificar conectividade de clientes e atribuição de endereços
3. Expandir para VLANs de produção incrementalmente
4. Adicionar DHCPv6 Guard e outras funcionalidades FHS
5. Documentar exceções e portas confiáveis

Fase 4: Gestão Contínua#

Objetivo: Manter postura de segurança

1. Rever logs de violação semanalmente
2. Atualizar listas de router confiáveis quando infraestrutura muda
3. Testar segurança durante avaliações de vulnerabilidade
4. Treinar equipa em conceitos de segurança NDP

Melhores Práticas de Configuração#

Para Switches de Acesso#

! Postura padrão: todas as portas são viradas para hosts
ipv6 nd raguard policy DEFAULT-HOST
 device-role host
 
! Aplicar a todas as portas por padrão
interface range GigabitEthernet1/0/1-48
 ipv6 nd raguard attach-policy DEFAULT-HOST
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 ipv6 snooping
 
! Confiar explicitamente uplinks (usar override manual)
interface GigabitEthernet1/0/49
 description Uplink to distribution
 ipv6 nd raguard attach-policy ROUTER-POLICY
 ipv6 dhcp guard attach-policy SERVER-POLICY
 ipv6 snooping trust

Princípio: Negar por padrão, permitir explicitamente.

Para Distribuição/Core#

! Menos restritivo pois infraestrutura é controlada
! Mas ainda validar origens
ipv6 nd raguard policy INFRA-POLICY
 device-role router
 match ipv6 access-list KNOWN-ROUTERS

Para Controladores Wireless#

Redes de convidados especialmente vulneráveis:

! Bloqueio RA estrito em SSID de convidado
ipv6 nd raguard policy GUEST-POLICY
 device-role host
 no-ra

Para Data Centers#

Ambientes virtualizados precisam de RA Guard em switches virtuais:

VMware:

• vSphere 6.5+ suporta políticas de segurança IPv6
• Configurar RA Guard em distributed virtual switch
• Aplicar a todas as VLANs de convidado

KVM/Linux bridges:

# Ativar proteção RA em todas as interfaces VM
for interface in /sys/class/net/vnet*/brport/protect_ra; do
  echo 1 > "$interface"
done

Simulação de Ataque para Testes#

Verifique que as suas defesas funcionam antes de um atacante as testar por si.

Testar RA Guard#

Use radvd para enviar Router Advertisements de teste de uma porta host:

# Instalar radvd
apt-get install radvd
 
# Configurar RA de teste (/etc/radvd.conf)
interface eth0 {
  AdvSendAdvert on;
  prefix 2001:db8:bad::/64 {
    AdvOnLink on;
    AdvAutonomous on;
  };
};
 
# Iniciar radvd
systemctl start radvd
 
# Esperado: RA Guard bloqueia estas mensagens
# Verificar: Verificar logs de switch para violações

Testar ND Inspection#

Tentar envenenamento de cache de vizinhos:

# Enviar Neighbor Advertisement falsificado
ndsend eth0 2001:db8::victim -a aa:bb:cc:dd:ee:ff --na-override
 
# Esperado: Source Guard ou ND Inspection bloqueia
# Verificar: Cache de vizinhos inalterado no alvo

Ferramentas de Teste Profissionais#

THC IPv6 Attack Toolkit:

# Instalar
apt-get install thc-ipv6
 
# Testar inundação RA
flood_router6 eth0
 
# Testar ataque DAD
dos-new-ip6 eth0
 
# Esperado: Todos os ataques bloqueados por funcionalidades FHS

Scapy para testes personalizados:

from scapy.all import *
 
# Criar RA malicioso
ra = IPv6(dst="ff02::1")/ICMPv6ND_RA()/ICMPv6NDOptPrefixInfo(prefix="2001:db8:bad::")
send(ra, iface="eth0")

Apenas execute testes de ataque em redes de teste isoladas ou com autorização explícita.

Erros Comuns#

1. Esquecer Confiança de Uplink#

Configurar RA Guard em todas as portas sem confiar explicitamente uplinks bloqueia RAs legítimos. Toda a sua rede perde conectividade IPv6.

Sintoma: Clientes param de receber endereços após ativar RA Guard.

Correção: Identificar e confiar portas conectadas a routers legítimos.

2. Cobertura de VLAN Inconsistente#

Aplicar segurança a algumas VLANs mas não outras. Atacantes conectam-se a VLANs desprotegidas e pivotam.

Correção: Aplicar políticas de segurança first-hop a todas as VLANs, incluindo redes de gestão.

3. Não Testar Antes de Produção#

Ativar modo de bloqueio sem testar causa interrupções quando tráfego legítimo é filtrado.

Correção: Sempre testar em ambiente de laboratório ou modo monitor primeiro.

4. Ignorar Redes Wireless#

Controladores wireless e pontos de acesso frequentemente contornam RA Guard se não configurados adequadamente.

Correção: Verificar que políticas de segurança se aplicam a VLANs wireless. Testar de clientes WiFi.

5. Negligenciar Ambientes Virtuais#

VMs podem enviar RAs dentro de switches virtuais, atacando outras VMs no mesmo host.

Correção: Ativar proteção RA em switches virtuais e rede de hipervisor.

Quando a Segurança Quebra Casos de Uso Legítimos#

Alguns cenários requerem RAs de portas host:

Routers em Modo Bridge#

Routers pequenos em modo bridge/passthrough retransmitem RAs de upstream.

Solução: Confiar explicitamente estas portas ou usar design de rede diferente.

Ambientes de Laboratório de Router#

Testar OSPF, BGP ou configurações de router requer envio de RAs.

Solução: Política de segurança dedicada para VLANs de laboratório permitindo RAs de qualquer origem.

Tethering de Hotspot Móvel#

Smartphones fornecendo funcionalidade de hotspot enviam RAs.

Solução: Redes de convidados podem permitir isto, mas redes corporativas devem bloqueá-lo.

Documente todas as exceções e reveja regularmente.

O Futuro: Trabalho em Progresso#

A segurança NDP evolui mas desafios permanecem:

Desenvolvimentos positivos:

• Implementação mais ampla de RA Guard
• Melhor suporte de switch para inspeção profunda
• Melhor integração com workflows SIEM/SOC

Desafios contínuos:

• Adoção de SEND ainda mínima
• Muitos dispositivos IoT carecem de consciência de segurança
• Complexidade operacional vs. ARP mais simples do IPv4

Tecnologias emergentes:

• Rede definida por software (SDN) permitindo políticas de segurança mais flexíveis
• Machine learning para deteção de anomalias em tráfego NDP
• Resposta automatizada a ataques detetados

Comece a Proteger NDP Agora#

Ataques NDP são reais e crescentes. Os mecanismos de segurança existem e funcionam — apenas precisam de implementação.

Segurança NDP mínima viável:

1. Ativar RA Guard em todos os switches de acesso
2. Confiar apenas portas uplink
3. Monitorizar violações
4. Responder a alertas

Isto para 95% dos ataques NDP com esforço mínimo. Adicione DHCPv6 Guard, Source Guard e monitorização abrangente para defesa em profundidade.

Não espere por um ataque para começar a levar a segurança NDP a sério. A sua rede IPv4 tem regras de firewall, segurança de porta e DHCP snooping. IPv6 merece a mesma atenção.

Artigos Relacionados#

• Protocolo de Descoberta de Vizinhos IPv6 - Como o NDP funciona e por que é essencial
• Melhores Práticas de Segurança IPv6 - Guia abrangente de segurança IPv6
• Configuração de Firewall IPv6 - Proteger IPv6 na borda da rede

Perguntas Frequentes#