L'ARP a été remplacé par le NDP (Neighbour Discovery Protocol). Mais je n'en connais pas la raison exacte.
Quelqu'un peut-il expliquer cela en termes simples ?
Oui, en voici quelques-uns :
De faux messages ARP sont envoyés sur un réseau local, ce qui permet de relier l'adresse MAC d'un attaquant à l'adresse IP d'un ordinateur ou d'un serveur légitime sur le réseau.
Voir ci-dessous pour plus d'informations sur le spoofing/empoisonnement ARP.
La table de traduction qui permet de savoir quelles adresses MAC se trouvent sur quels ports physiques dispose d'une quantité de mémoire limitée. Cela permet d'exploiter un commutateur en inondant la table de traduction. Les commutateurs primitifs, qui ne savent pas comment gérer l'excès de données, se mettent en défaut et diffusent toutes les trames du réseau sur tous les ports.
Lors d'une attaque par duplication de MAC, un commutateur est confondu et pense que deux ports ont la même adresse MAC. Étant donné que les données sont transmises aux deux ports, aucune transmission IP n'est nécessaire.
Source Sécurité du protocole de résolution d'adresses (ARP) de TCP/IP
Il apporte des améliorations et des fonctionnalités supplémentaires pour IPv6.
Voir ci-dessous une comparaison entre NDP et les protocoles Address Resolution Protocol [ARP], ICMP Router Discovery [RDISC] et ICMP Redirect [ICMPv4].
Il utilise le protocole SEND (Secure Neighbor Discovery). Les adresses générées de manière cryptographique garantissent que la source déclarée d'un message NDP est bien le propriétaire de l'adresse déclarée.
L'une des fonctions du protocole de découverte de voisins (NDP) IPv6 est la suivante de résoudre les adresses de la couche réseau (IP) en adresses de la couche liaison (par exemple, Ethernet), une fonction assurée dans IPv4 par le protocole de résolution d'adresses. résolution d'adresses (ARP). Le protocole Secure Neighbor Discovery (SEND) Le protocole SEND (Secure Neighbor Discovery) empêche un attaquant qui a accès au segment de diffusion d'abuser du protocole NDP ou ARP pour inciter les hôtes à lui envoyer du trafic destiné à un autre destinataire. trafic destiné à quelqu'un d'autre, une technique connue sous le nom d'empoisonnement ARP.
Pour se protéger contre l'empoisonnement ARP et d'autres attaques contre NDP SEND doit être déployé là où l'accès au segment de diffusion n'est pas possible. segment de diffusion n'est pas possible.
SEND utilise des paires de clés RSA pour produire des données cryptographiques. telles que définies dans la RFC 3972, Cryptographically Generated Cryptographically Generated Addresses (CGA). Cela garantit que la source déclarée d'un message NDP est le propriétaire de l'adresse déclarée.
Source Configuration de la découverte sécurisée des voisins IPv6
Le spoofing ARP est également appelé ARP Poison Routing (APR) ou ARP Cache Poisoning (empoisonnement du cache ARP).
L'usurpation d'adresse ARP est un type d'attaque dans lequel un acteur malveillant envoie des messages ARP (protocole de résolution d'adresses) falsifiés sur un réseau local. Cela permet de relier l'adresse MAC d'un attaquant à l'adresse IP d'un ordinateur ou d'un serveur légitime sur le réseau.
Une fois que l'adresse MAC de l'attaquant est connectée à une adresse IP authentique l'attaquant commence à recevoir toutes les données destinées à cette adresse IP. à cette adresse IP.
L'usurpation d'adresse ARP peut permettre à des personnes malveillantes d'intercepter, de modifier ou même d'arrêter des données en cours d'acheminement. d'arrêter les données en transit. Les attaques par usurpation d'adresse ARP ne peuvent se produire que sur les réseaux locaux qui utilisent les technologies de l'information et de la communication (TIC). locaux qui utilisent le protocole de résolution d'adresses.
Source Veracode Espionnage ARP
Les étapes d'une attaque par usurpation d'adresse ARP sont généralement les suivantes :
L'attaquant ouvre un outil d'usurpation ARP et règle l'adresse IP de l'outil de manière à ce qu'elle corresponde au sous-réseau IP d'une cible. Exemples d'outils ARP les plus connus sont Arpspoof, Cain & Abel, Arpoison et Ettercap.
L'attaquant utilise l'outil d'usurpation ARP pour rechercher les adresses IP et MAC des hôtes dans le sous-réseau de la cible.
L'attaquant choisit sa cible et commence à envoyer des paquets ARP sur le réseau local qui contiennent l'adresse MAC de l'attaquant et le numéro de série de l'attaquant. l'adresse IP de la cible.
Comme d'autres hôtes du réseau local mettent en cache les paquets ARP usurpés, les données que ces hôtes envoient à la victime iront à l'attaquant. À partir de là, l'attaquant peut voler des données ou lancer une attaque de suivi plus sophistiquée. plus sophistiquée.
Source Veracode Espionnage ARP
L'attaquant peut choisir d'inspecter les paquets (espionnage), tout en tout en transférant le trafic vers la passerelle par défaut réelle afin d'éviter les de la passerelle par défaut, de modifier les données avant de les transmettre (attaque de l'homme du milieu) ou de lancer une attaque de l'homme du milieu (man-in-the-middle). ou lancer une attaque par déni de service en provoquant l'envoi d'une partie ou de la totalité des paquets sur le réseau. des paquets sur le réseau.
Source : Wikipedia Usurpation d'adresse ARP
Le protocole IPv6 Neighbor Discovery correspond à une combinaison des éléments suivants protocoles IPv4 : protocole de résolution d'adresses [ARP], ICMP Router ICMP [RDISC] et ICMP Redirect [ICMPv4].
Dans IPv4, il n'y a pas de protocole ou mécanisme généralement accepté pour le voisinage. voisins, bien que le document Hosts Requirements [HR-CL] spécifie quelques possibilités de détection de l'inaccessibilité des voisins. [HR-CL] spécifie certains algorithmes possibles pour la détection de passerelles mortes (un sous-ensemble des problèmes que pose l'IPv4). (un sous-ensemble des problèmes que la détection de l'impossibilité d'atteindre le voisin s'attaque).
Le protocole Neighbor Discovery apporte une multitude d'améliorations par rapport à l'ensemble des protocoles IPv4 :
Router Discovery is part of the base protocol set; there is no need for hosts to "snoop" the routing protocols.
Router Advertisements carry link-layer addresses; no additional packet exchange is needed to resolve the router's link-layer address.
Router Advertisements carry prefixes for a link; there is no need to have a separate mechanism to configure the "netmask".
Router Advertisements enable Address Autoconfiguration.
Routers can advertise an MTU for hosts to use on the link, ensuring that all nodes use the same MTU value on links lacking a well-defined MTU.
Address resolution multicasts are "spread" over 16 million (2^24) multicast addresses, greatly reducing address-resolution-related interrupts on nodes other than the target. Moreover, non-IPv6 machines should not be interrupted at all.
Redirects contain the link-layer address of the new first hop; separate address resolution is not needed upon receiving a redirect.
Multiple prefixes can be associated with the same link. By default, hosts learn all on-link prefixes from Router Advertisements. However, routers may be configured to omit some or all prefixes from Router Advertisements. In such cases hosts assume that destinations are off-link and send traffic to routers. A router can then issue redirects as appropriate.
Unlike IPv4, the recipient of an IPv6 redirect assumes that the new next-hop is on-link. In IPv4, a host ignores redirects specifying a next-hop that is not on-link according to the link's network mask. The IPv6 redirect mechanism is analogous to the XRedirect facility specified in [SH-MEDIA]. It is expected to be useful on non-broadcast and shared media links in which it is undesirable or not possible for nodes to know all prefixes for on-link destinations.
Neighbor Unreachability Detection is part of the base, which significantly improves the robustness of packet delivery in the presence of failing routers, partially failing or partitioned links, or nodes that change their link-layer addresses. For
Par exemple, les nœuds mobiles peuvent se déplacer hors de la liaison sans perdre aucune connectivité due à des caches ARP périmés.
Unlike ARP, Neighbor Discovery detects half-link failures (using Neighbor Unreachability Detection) and avoids sending traffic to neighbors with which two-way connectivity is absent.
Unlike in IPv4 Router Discovery, the Router Advertisement messages do not contain a preference field. The preference field is not needed to handle routers of different "stability"; the Neighbor Unreachability Detection will detect dead routers and switch to a working one.
The use of link-local addresses to uniquely identify routers (for Router Advertisement and Redirect messages) makes it possible for hosts to maintain the router associations in the event of the site renumbering to use new global prefixes.
By setting the Hop Limit to 255, Neighbor Discovery is immune to off-link senders that accidentally or intentionally send ND messages. In IPv4, off-link senders can send both ICMP Redirects and Router Advertisement messages.
Placing address resolution at the ICMP layer makes the protocol more media-independent than ARP and makes it possible to use generic IP-layer authentication and security mechanisms as appropriate.
Source RFC 4861 Découverte du voisin en IPv6
NPD a plus de fonctionnalités que le ARP y compris :
Grâce à NDP, les appareils du réseau peuvent déterminer l'adresse de la couche MAC/lien (même fonction que ARP).
Grâce au protocole NDP, les appareils du réseau peuvent localiser le chemin à suivre pour atteindre un autre appareil dans un réseau externe, en localisant le meilleur routeur vers l'appareil de destination.
NDP permet l'auto-configuration des adresses IPv6.
Le mécanisme est différent de celui de l'ARP :
ARP utilise des messages de diffusion, tandis que NDP utilise des messages ICMPv6 de multidiffusion.
L'appareil envoie un message multidiffusion appelé "Neighbor Solicitation ICMP Message" ou "Neighbor Solicitation ICMP Message". NS . L'appareil de destination répond par un message ICMP "Neighbor Advertisement" ou par un message ICMP "Neighbor Advertisement". NA .
Le message NS utilise une adresse de destination multicast spéciale appelée adresse de multidiffusion du nœud sollicité qui représente tous les hôtes dont les 24 derniers bits de l'adresse IPv6 sont identiques. L'utilisation de la multidiffusion au lieu de la diffusion réduit le flux de trafic inutile sur le réseau.
L'introduction de NDP à la place d'ARP était principalement due à la volonté de consolider les protocoles de contrôle autour d'IP. IPv4 bénéficie de plusieurs protocoles de contrôle tels que ICMP, IGMP et ARP/RARP. Avec IPv6, NDP (successeur d'ARP) et MLD (successeur d'IGMP) ont été conçus comme des sous-protocoles d'ICMPv6 afin qu'il n'y ait qu'un seul protocole de contrôle. Il n'y avait aucune raison de sécurité à cela, ND est aussi sensible à l'usurpation que ARP, et ND n'a pas été conçu pour la sécurité.
Dans les premiers jours du développement de l'IPv6, IPsec était considéré comme les mesure de sécurité générique et était donc obligatoire. Cette exigence a toutefois été rétrogradée au rang de recommandation (RFC 6434, je crois que c'est principalement dû aux appareils embarqués et à l'IoT, qui ne sont tout simplement pas capables d'effectuer des calculs de clés publiques et qui, de toute façon, se heurteraient à toutes sortes de problèmes liés à l'ICP) et ne fonctionne pas bien (pour parler poliment) pour sécuriser la ND. SeND a été introduit pour ajouter la sécurité à la ND, mais comme pour pratiquement toutes les tentatives précédentes de sécurité rétroactive dans la conception de logiciels, le résultat a été, disons, moins qu'optimal. Étant donné qu'il n'existe toujours pas d'implémentation de SeND, à l'exception de quelques implémentations expérimentales, à toutes fins pratiques, SeND n'existe pas. De plus, il y a des raisons de croire que le SeND - au moins dans sa forme actuelle - ne décollera jamais.
En revanche, le SAVI semble plus prometteur, mais il nécessite des modifications de l'infrastructure de commutation et les équipements compatibles avec le SAVI ne sont pas tout à fait bon marché, de sorte qu'il ne va pas non plus proliférer rapidement. SAVI part du principe qu'au sein d'un site, on devrait "savoir" quelles correspondances entre les adresses HW (c'est-à-dire l'adresse MAC) et les adresses IP sont légitimes et qu'il devrait donc être possible d'identifier et d'éliminer les faux messages NDP.
Les meilleures recettes sont les plus simples, mais elles sont souvent négligées : Diviser les grands réseaux locaux en réseaux plus petits, car l'ARP et le ND-spoofing ne fonctionnent que pour les cibles situées dans le même réseau local. Par conséquent, le simple fait de placer des dispositifs non fiables dans leur(s) propre(s) segment(s) de réseau local (aucune règle de pare-feu/filtrage n'est nécessaire) réduira considérablement la surface d'attaque.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
