Mengapa ARP digantikan oleh NDP di IPv6?

49

ARP digantikan oleh NDP (Neighbor Discovery Protocol). Tapi saya tidak tahu alasan pasti untuk ini.

  • Apakah ada masalah keamanan di ARP?
  • Mengapa ARP digantikan oleh NDP?
  • Apa kelebihan ARP?

Adakah yang bisa menjelaskan hal ini secara sederhana?

ipv6  arp  ndp 
Ganeshgm7
sumber

Jawaban:

67

Apakah ada masalah keamanan di ARP?

Iya. Inilah beberapa:

  • Spoofing ARP.

    Pesan ARP palsu dikirim melalui LAN, menghasilkan penautan alamat MAC penyerang dengan alamat IP komputer atau server yang sah di jaringan.

    Lihat di bawah untuk informasi lebih lanjut tentang ARP Spoofing / Poisoning.

  • MAC Flooding.

    Tabel terjemahan yang melacak alamat MAC mana di mana port fisik memiliki jumlah memori terbatas. Ini memungkinkan saklar dieksploitasi dengan membanjiri tabel terjemahan. Sakelar primitif, yang tidak mengetahui cara menangani kelebihan data, akan 'gagal dibuka' dan menyiarkan semua frame jaringan ke semua port.

  • Duplikasi MAC.

    Dalam serangan Duplikasi MAC, sebuah saklar bingung karena berpikir dua port memiliki alamat MAC yang sama. Karena data akan diteruskan ke kedua port, tidak perlu penerusan IP.

Sumber Keamanan TCP / IP Address Resolution Protocol (ARP)

Mengapa ARP digantikan oleh NDP?

Ini memberikan peningkatan dan fitur tambahan untuk IPv6.

Lihat di bawah untuk perbandingan NDP dan protokol Address Resolution Protocol [ARP], ICMP Router Discovery [RDISC], dan ICMP Redirect [ICMPv4].

Bagaimana NDP bertahan melawan ARP Spoofing / Poisoning?

Ini menggunakan Protokol Penemuan Tetangga Aman (KIRIM). Alamat yang dibuat secara kriptografis memastikan bahwa sumber pesan NDP yang diklaim adalah pemilik alamat yang diklaim.

Salah satu fungsi IPv6 Neighbor Discovery Protocol (NDP) adalah untuk menyelesaikan alamat lapisan jaringan (IP) untuk menghubungkan alamat lapisan (misalnya, Ethernet), fungsi yang dilakukan di IPv4 oleh Address Resolution Protocol (ARP). Protokol Secure Neighbor Discovery (SEND) mencegah penyerang yang memiliki akses ke segmen siaran dari menyalahgunakan NDP atau ARP untuk mengelabui host agar mengirimkan lalu lintas penyerang yang ditujukan untuk orang lain, teknik yang dikenal sebagai keracunan ARP.

Untuk melindungi dari keracunan ARP dan serangan lain terhadap fungsi NDP, KIRIM harus dikerahkan di mana mencegah akses ke segmen siaran mungkin tidak mungkin.

KIRIM menggunakan pasangan kunci RSA untuk menghasilkan alamat yang dihasilkan secara kriptografis, sebagaimana didefinisikan dalam RFC 3972, Alamat yang Dihasilkan Secara Kriptografis (CGA). Ini memastikan bahwa sumber pesan NDP yang diklaim adalah pemilik alamat yang diklaim.

Sumber Mengonfigurasi IPv6 Neighbor Discovery Secure

Bagaimana cara kerja ARP Spoofing?

ARP Spoofing juga disebut sebagai ARP Poison Routing (APR) atau ARP Cache Poisoning.

Spoofing ARP adalah jenis serangan di mana aktor jahat mengirim pesan ARP (Address Resolution Protocol) yang dipalsukan melalui jaringan area lokal. Ini menghasilkan tautan dari alamat MAC penyerang dengan alamat IP komputer atau server yang sah di jaringan.

Setelah alamat MAC penyerang terhubung ke alamat IP asli, penyerang akan mulai menerima data apa pun yang dimaksudkan untuk alamat IP tersebut.

Spoofing ARP dapat memungkinkan pihak jahat untuk mencegat, memodifikasi atau bahkan menghentikan data dalam perjalanan. Serangan spoofing ARP hanya dapat terjadi pada jaringan area lokal yang memanfaatkan Protokol Resolusi Alamat.

Sumber Veracode ARP Spoofing

Bagaimana cara kerja Serangan Spoofing ARP?

Langkah-langkah untuk serangan spoofing ARP biasanya meliputi:

  1. Penyerang membuka alat spoofing ARP dan menetapkan alamat IP alat untuk mencocokkan subnet IP target. Contoh perangkat lunak spoofing ARP yang populer termasuk Arpspoof, Cain & Abel, Arpoison dan Ettercap.

  2. Penyerang menggunakan alat spoofing ARP untuk memindai alamat IP dan MAC host di subnet target.

  3. Penyerang memilih targetnya dan mulai mengirim paket ARP di LAN yang berisi alamat MAC penyerang dan alamat IP target.

  4. Ketika host lain pada LAN men-cache paket ARP palsu, data yang dikirim oleh host tersebut kepada korban akan pergi ke penyerang sebagai gantinya. Dari sini, penyerang dapat mencuri data atau meluncurkan serangan lanjutan yang lebih canggih.

Sumber Veracode ARP Spoofing

Penyerang dapat memilih untuk memeriksa paket (memata-matai), sambil meneruskan lalu lintas ke gateway default aktual untuk menghindari penemuan, memodifikasi data sebelum meneruskannya (serangan di tengah), atau meluncurkan penolakan layanan. menyerang dengan menyebabkan beberapa atau semua paket pada jaringan menjadi jatuh.

Sumber spoofing ARP Wikipedia

Perbandingan [NDP] dengan IPv4

Protokol IPv6 Neighbor Discovery sesuai dengan kombinasi protokol IPv4 Address Resolution Protocol [ARP], ICMP Router Discovery [RDISC], dan ICMP Redirect [ICMPv4].

Dalam IPv4 tidak ada protokol atau mekanisme yang disepakati secara umum untuk Neighbor Unreachability Detection, meskipun dokumen Persyaratan Hosts [HR-CL] tidak menentukan beberapa algoritma yang mungkin untuk Deteksi Gateway Mati (subset dari masalah Neighbor Unreachability Detection tackles).

Protokol Neighbor Discovery menyediakan banyak peningkatan dibandingkan dengan set protokol IPv4:

  • Router Discovery adalah bagian dari set protokol dasar; tidak perlu bagi host untuk "mengintip" protokol routing.

  • Iklan Router membawa alamat lapisan tautan; tidak diperlukan pertukaran paket tambahan untuk menyelesaikan alamat lapisan tautan router.

  • Iklan Router membawa awalan untuk tautan; tidak perlu memiliki mekanisme terpisah untuk mengkonfigurasi "netmask".

  • Periklanan Router mengaktifkan Konfigurasi Otomatis Alamat.

  • Router dapat mengiklankan MTU untuk host yang akan digunakan pada tautan, memastikan bahwa semua node menggunakan nilai MTU yang sama pada tautan yang tidak memiliki MTU yang jelas.

  • Multicast resolusi alamat "tersebar" lebih dari 16 juta (2 ^ 24) alamat multicast, sangat mengurangi interupsi terkait resolusi-alamat pada node selain target. Selain itu, mesin non-IPv6 tidak boleh terganggu sama sekali.

  • Arahan ulang berisi alamat link-layer dari hop pertama yang baru; resolusi alamat terpisah tidak diperlukan setelah menerima pengalihan.

  • Beberapa awalan dapat dikaitkan dengan tautan yang sama. Secara default, host mempelajari semua awalan on-link dari Advertisements Router. Namun, router dapat dikonfigurasi untuk menghilangkan beberapa atau semua awalan dari Iklan Router. Dalam kasus seperti itu, host menganggap bahwa tujuan tidak terhubung dan mengirimkan lalu lintas ke router. Router kemudian dapat mengeluarkan pengalihan yang sesuai.

  • Tidak seperti IPv4, penerima pengalihan IPv6 mengasumsikan bahwa next-hop baru ada di tautan. Di IPv4, host mengabaikan pengalihan yang menentukan hop berikutnya yang tidak terhubung sesuai dengan topeng jaringan tautan. Mekanisme redirect IPv6 analog dengan fasilitas XRedirect yang ditentukan dalam [SH-MEDIA]. Diharapkan bermanfaat pada tautan media yang tidak disiarkan dan dibagikan di mana tidak diinginkan atau tidak mungkin bagi simpul untuk mengetahui semua awalan untuk tujuan pada tautan.

  • Neighbor Unreachability Detection adalah bagian dari basis, yang secara signifikan meningkatkan ketahanan pengiriman paket di hadapan router yang gagal, sebagian gagal atau partisi yang terputus, atau node yang mengubah alamat layer-link mereka. Misalnya, node seluler dapat berpindah tautan tanpa kehilangan konektivitas apa pun karena cache ARP basi.

  • Tidak seperti ARP, Neighbor Discovery mendeteksi kegagalan setengah tautan (menggunakan Neighbor Unreachability Detection) dan menghindari pengiriman lalu lintas ke tetangga yang tidak memiliki konektivitas dua arah.

  • Tidak seperti dalam Penemuan Router IPv4, pesan Iklan Router tidak mengandung bidang preferensi. Bidang preferensi tidak diperlukan untuk menangani router dengan "stabilitas" yang berbeda; Neighbor Unreachability Detection akan mendeteksi router yang mati dan beralih ke router yang berfungsi.

  • Penggunaan alamat tautan-lokal untuk mengidentifikasi router secara unik (untuk pesan Router dan Pengalihan Pesan) memungkinkan host untuk menjaga asosiasi router jika situs tersebut dinomori ulang untuk menggunakan awalan global baru.

  • Dengan menetapkan Batas Hop ke 255, Neighbor Discovery kebal terhadap pengirim off-link yang secara tidak sengaja atau sengaja mengirim pesan ND. Di IPv4, pengirim off-link dapat mengirim pesan ICMP Redirects dan Router Ads.

  • Menempatkan resolusi alamat pada lapisan ICMP membuat protokol lebih mandiri media daripada ARP dan memungkinkan untuk menggunakan otentikasi IP-layer generik dan mekanisme keamanan yang sesuai.

Sumber RFC 4861 Neighbor Discovery di IPv6

Bacaan lebih lanjut

DavidPostill
sumber
Bagaimana NDP membela keracunan agaist?
grawity
@ kegembiraan Pertanyaan bagus! Ini menggunakan Protokol Penemuan Tetangga Aman (KIRIM). Jawaban diperbarui.
DavidPostill
2
Hmm, berapa banyak sistem operasi yang benar-benar menggunakan KIRIM
grawity
2
@ DavidvidPostill Tidak, IPsec bekerja pada lapisan yang berbeda dari ARP / NDP. Perlu saluran komunikasi yang berfungsi untuk membangun fitur keamanannya.
scai
4
@DavidPostill Kiriman hebat. Namun, posting Anda menyesatkan karena menunjukkan bahwa SeND adalah (a) bagian integral dari NDP dan (b) solusi umum. Ini tidak terjadi - SeND adalah add-on, dan tidak ada Implementasi SeND selain dari yang eksperimental. Selain itu, SeND memiliki kekurangannya sendiri dan membuka kemungkinan untuk penolakan serangan layanan. Akhirnya, masuk akal untuk mengasumsikan bahwa SeND tidak akan pernah lepas landas (setidaknya tidak dalam bentuk saat ini) dan karenanya tidak boleh diusulkan terlalu keras.
countermode
9

NDP memiliki lebih banyak fitur daripada ARP , termasuk:

  • Melalui NDP, perangkat di jaringan dapat menentukan alamat MAC / link-layer (fungsi yang sama dengan ARP).

  • Menggunakan NDP, perangkat di jaringan dapat menemukan jalur untuk mencapai perangkat lain di jaringan eksternal, mencari router terbaik ke perangkat tujuan.

  • NDP memungkinkan konfigurasi otomatis alamat IPv6.

Membandingkannya dengan ARP, mekanismenya berbeda:

ARP menggunakan pesan siaran, sementara NDP menggunakan pesan multicast ICMPv6.

Perangkat mengirim pesan multicast yang disebut "Pesan ICMP Permintaan Neighbor" atau NS . Perangkat tujuan merespons dengan "pesan ICMP Neighbor Advertising" atau NA .

Pesan NS menggunakan alamat tujuan multicast khusus yang disebut alamat multicast node solicited yang mewakili semua host dengan 24 bit terakhir yang sama dari alamat IPv6 mereka. Penggunaan multicast alih-alih siaran mengurangi aliran lalu lintas yang tidak perlu di jaringan.

jcbermu
sumber
5

Pengenalan NDP sebagai pengganti ARP sebagian besar disebabkan oleh keinginan untuk mengkonsolidasikan protokol kontrol di sekitar IP. IPv4 menikmati beberapa protokol kontrol seperti ICMP, IGMP, dan ARP / RARP. Dengan IPv6 NDP (penerus ARP) serta MLD (penerus IGMP) dirancang sebagai sub-protokol ICMPv6 sehingga hanya ada satu protokol kontrol. Tidak ada alasan keamanan untuk ini, ND rentan terhadap spoofing seperti ARP, dan ND tidak dirancang untuk keamanan.

Pada hari-hari awal pengembangan IPv6 IPsec dipandang sebagai yanglangkah-langkah keamanan umum dan dengan demikian wajib. Persyaratan ini, bagaimanapun, telah diturunkan menjadi rekomendasi (RFC 6434, saya percaya sebagian besar karena perangkat yang tertanam dan IoT, yang sama sekali tidak mampu melakukan perhitungan kunci publik, ditambah mereka akan tersandung masalah PKI dari semua jenis , bagaimanapun) dan tidak bekerja dengan baik (sopan berbicara) untuk mengamankan ND. SeND diperkenalkan untuk memakukan keamanan ke ND, tetapi untuk hampir semua upaya sebelumnya dalam desain perangkat lunak keamanan retroaktif hasilnya, katakanlah, kurang optimal. Karena masih belum ada implementasi SeND kecuali beberapa yang eksperimental, untuk semua tujuan praktis SeND tidak ada. Selain itu, ada alasan untuk percaya bahwa SeND - setidaknya dalam bentuk saat ini - tidak akan pernah lepas landas.

Sebaliknya, SAVI terlihat lebih menjanjikan tetapi membutuhkan perubahan pada infrastruktur switching dan peralatan yang mampu SAVI tidak cukup murah, sehingga juga tidak akan berkembang biak dengan cepat. SAVI bekerja dengan alasan bahwa di dalam sebuah situs harus "diketahui" pemetaan antara alamat HW (yaitu alamat MAC) dan alamat IP yang sah dan dengan demikian harus mungkin untuk mengidentifikasi dan menghapus pesan NDP palsu.

Resep terbaik adalah yang paling sederhana tetapi sering diabaikan: Pecah LAN besar menjadi yang lebih kecil, untuk pekerjaan spoofing ARP dan ND hanya untuk target di LAN yang sama. Oleh karena itu, hanya menempatkan perangkat yang tidak dapat dipercaya ke dalam segmen LAN mereka sendiri (tidak ada aturan firewall / filter yang diperlukan) akan sangat mengurangi permukaan serangan.

countermode
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.