ARPはNDP(Neighbour Discovery Protocol)に置き換えられました。しかし、正確な理由はわかりません
- ARPにセキュリティ上の問題はありますか?
- なぜARPがNDPに置き換わるのか?
- ARPのメリットは?
誰か簡単に説明できる人いませんか?
49 Ganeshgm7 2015-09-08
ARPにセキュリティ上の問題はありますか?
はい、いくつかあります
ARP Spoofing.
誤ったARPメッセージがLANを介して送信され、攻撃者のMACアドレスとネットワーク上の正規のコンピュータやサーバのIPアドレスがリンクされてしまいます
ARPスプーフィング/ポイズニングの詳細は以下を参照してください
MAC Flooding.
どのMACアドレスがどの物理ポート上にあるかを追跡する変換テーブルのメモリ量は限られています。これにより、スイッチは翻訳テーブルをフラッディングすることで悪用されます。原始的なスイッチは、過剰なデータをどのように扱うかを知らないため、「フェイルオープン」し、すべてのネットワークフレームをすべてのポートにブロードキャストします
MAC Duplicating.
MAC複製攻撃では、スイッチは2つのポートが同じMACアドレスを持っていると勘違いされます。データは両方のポートに転送されるので、IP転送は必要ありません
ソース TCP/IPアドレス解決プロトコル(ARP)のセキュリティ
ARPはなぜNDPに置き換えられたのか?
IPv6の改善と追加機能を提供します
NDPとプロトコルであるAddress Resolution Protocol [ARP]、ICMP Router Discovery [RDISC]、ICMP Redirect [ICMPv4]の比較については、以下を参照してください
ARPなりすまし/ポイズニングに対して、NDPはどのように防御しているのでしょうか?
これは、Secure Neighbor Discovery (SEND) プロトコルを使用します。暗号化されて生成されたアドレスは、NDPメッセージの主張されたソースが主張されたアドレスの所有者であることを保証します
IPv6 Neighbor Discovery Protocol(NDP)の機能の1つは、ネットワーク層(IP)アドレスをリンク層(イーサネットなど)アドレスに解決することであり、IPv4ではARP(Address Resolution Protocol)によって実行されています。SEND(Secure Neighbor Discovery)プロトコルは、ブロードキャストセグメントにアクセスした攻撃者がNDPやARPを悪用してホストを騙し、別の誰かに向けて攻撃者のトラフィックを送信することを防ぐもので、ARPポイズニングとして知られています
ARPポイズニングやNDP機能に対するその他の攻撃から保護するために、ブロードキャストセグメントへのアクセスを防ぐことができない可能性がある場合には、SENDを配備する必要があります
SENDはRSAキー・ペアを使用して、RFC3972のCryptographically Generated Addresses (CGA)で定義されているように、暗号化されたアドレスを生成します。これにより、NDPメッセージの主張されたソースが、主張されたアドレスの所有者であることが保証されます
ソース セキュアな IPv6 Neighbor Discovery の設定
ARPスプーフィングの仕組みは?
ARPスプーフィングは、ARP Poison Routing (APR)またはARP Cache Poisoningとも呼ばれています
ARPスプーフィングは、悪意のある行為者がローカルエリアネットワーク上で偽のARP(アドレス解決プロトコル)メッセージを送信する攻撃の一種です。これにより、攻撃者の MAC アドレスとネットワーク上の正当なコンピュータやサーバーの IP アドレスがリンクされます
攻撃者のMACアドレスが本物のIPアドレスに接続されると、攻撃者はそのIPアドレスを対象としたあらゆるデータの受信を開始します
ARPスプーフィングは、悪意のある者がデータを傍受したり、変更したり、転送中のデータを停止させたりすることを可能にする可能性があります。ARPスプーフィング攻撃は、アドレス解決プロトコルを利用するローカルエリアネットワークでのみ発生します
ソースVeracode ARPのなりすまし
ARPなりすまし攻撃の仕組みは?
ARPスプーフィング攻撃へのステップには、通常、以下のようなものがあります
攻撃者はARPスプーフィングツールを開き、ツールのIPアドレスをターゲットのIPサブネットに一致するように設定します。一般的なARPスプーフィングソフトウェアの例としては、Arpspoof、Cain & Abel、Arpoison、Ettercapなどがあります
攻撃者はARPスプーフィングツールを使用して、ターゲットのサブネット内のホストのIPアドレスとMACアドレスをスキャンします
攻撃者はターゲットを選択し、攻撃者のMACアドレスとターゲットのIPアドレスを含むARPパケットをLAN経由で送信し始めます
LAN上の他のホストがなりすましARPパケットをキャッシュすると、それらのホストが被害者に送信したデータは、代わりに攻撃者に送られます。ここから、攻撃者はデータを盗んだり、より高度な追跡攻撃を行うことができます
ソースVeracode ARPのなりすまし
攻撃者は、発見を避けるために実際のデフォルトゲートウェイにトラフィックを転送しながらパケットを検査したり(スパイ)、転送する前にデータを変更したり(中間者攻撃)、ネットワーク上の一部またはすべてのパケットを落とすことでサービス拒否攻撃を実行したりすることができます
出典 ウィキペディア ARPのなりすまし
NDPとIPv4の比較
IPv6 Neighbor Discoveryプロトコルは、IPv4プロトコルであるAddress Resolution Protocol [ARP]、ICMP Router Discovery [RDISC]、ICMP Redirect [ICMPv4]の組み合わせに対応しています
IPv4では、Neighbor Unreachability Detectionのプロトコルやメカニズムについて一般的に合意されたものはありませんが、Hosts Requirements文書[HR-CL]では、Dead Gateway Detection(Neighbor Unreachability Detectionが取り組む問題のサブセット)のためのいくつかの可能性のあるアルゴリズムが規定されています
Neighbor Discoveryプロトコルは、IPv4プロトコルのセットに比べて多くの改良が施されています
ルータ発見は基本プロトコルセットの一部であり、ホストがルーティングプロトコルを「スヌーピング」する必要はありません
ルータのリンクアドレスを解決するために、追加のパケット交換は必要ありません
ルータアドバタイズメントは、リンクのプレフィックスを運ぶ
Router Advertisements は、アドレス自動設定を有効にします
ルータは、リンク上で使用するホストのためにMTUをアドバタイズすることができ、定義されたMTUがないリンク上ですべてのノードが同じMTU値を使用することを保証します
アドレス解決マルチキャストは、1,600万(2^24)個のマルチキャストアドレスに “分散 “され、ターゲット以外のノードでのアドレス解決関連の割り込みを大幅に削減します。また、IPv6以外のマシンでは全く割り込みが発生しないはずです
リダイレクトには、新しい最初のホップのリンクレイヤーアドレスが含まれる
複数のプレフィックスを同じリンクに関連付けることができます。デフォルトでは、ホストはルータ広告からすべてのオンリンク接頭辞を学習します。しかし、ルータは、ルータ広告から一部またはすべてのプレフィックスを省略するように構成されている場合があります。そのような場合、ホストはデスティネーションがオフリンクであると仮定して、ルータにトラフィックを送信します。ルータはその後、適切なリダイレクトを発行することができます
IPv4とは異なり、IPv6リダイレクトの受信者は、新しいネクストホップがオンリンクであると仮定します。IPv4では、ホストはリンクのネットワークマスクに従って、オンリンクではないネクストホップを 指定したリダイレクトを無視する。IPv6のリダイレクトの仕組みは、[SH-MEDIA]のXRedirect機能に似ている。これは、ノードがオンリンク先のすべてのプレフィックスを知ることが望ましくない、あるいは不可能である非放送や共有メディアリンクで有用であることが期待されている
Neighbor Unreachability Detectionはベースの一部であり、故障したルータ、部分的に故障したリンクや分割されたリンク、リンク層アドレスを変更したノードが存在する場合のパケット配信のロバスト性を大幅に向上させます。例えば、モバイルノードは、陳腐なARPキャッシュによって接続性を失うことなくオフリンクに移動することができます
ARPとは異なり、Neighbor Discoveryはハーフリンクの障害を検出し(Neighbor Unreachability Detectionを使用)、双方向接続が存在しない隣人にトラフィックを送信しないようにします
IPv4 ルータ発見とは異なり、ルータ広告メッセージにはプリファレンスフィールドが含まれていません。プリファレンスフィールドは、異なる「安定性」のルータを処理するためには必要ありません
ルータを一意に識別するためにリンクローカルアドレスを使用することで、(ルータ広告とリダイレクトメッセージのために)新しいグローバルプレフィックスを使用するためにサイトのナンバリングが変更された場合でも、ホストがルータの関連付けを維持することが可能になります
ホップ制限を255に設定することで、Neighbor Discoveryは、誤ってまたは意図的にNDメッセージを送信するオフリンク送信者の影響を受けません。IPv4では、オフリンクの送信者はICMPリダイレクトとルータアドバタイズメントメッセージの両方を送信できます
ICMP層にアドレス解決を配置することで、ARPよりもメディアに依存しないプロトコルとなり、一般的なIP層の認証やセキュリティの仕組みを適切に利用することが可能となります
出典 RFC 4861 IPv6における隣人発見 ARPポイズニング(マンインザミドル)の攻撃と軽減テクニック
67 DavidPostill 2015-09-08
NDPはARP以上の機能を持っています
NDPを介して、ネットワーク上のデバイスはMAC/リンク層アドレスを決定することができます(ARPと同じ機能)
NDPを使用すると、ネットワーク上のデバイスは、外部ネットワーク内の別のデバイスに到達するためのパスを見つけ、宛先デバイスに最適なルータを特定することができます
NDPでは、IPv6アドレスの自動設定が可能です
ARPと比較すると、仕組みが違います
ARPはブロードキャストメッセージを使用し、NDPはマルチキャストICMPv6メッセージを使用します
デバイスは「Neighbor Solicitation ICMP Message」またはNSと呼ばれるマルチキャストメッセージを送信します。宛先デバイスは「Neighbor Advertisement ICMPメッセージ」またはNAで応答します
NSメッセージは、IPv6アドレスの最後の24ビットが同じであるすべてのホストを表す勧誘ノードマルチキャストアドレスと呼ばれる特殊なマルチキャスト宛先アドレスを使用します。ブロードキャストの代わりにマルチキャストを使用することで、ネットワーク上の不要なトラフィックの流れを減らします
9 jcbermu 2015-09-08
ARPの代わりにNDPを導入したのは、主にIP周りの制御プロトコルを統合したいという願望によるものです。IPv4にはICMP、IGMP、ARP/RARPなどの制御プロトコルがあります。IPv6では、NDP(ARPの後継)とMLD(IGMPの後継)がICMPv6のサブプロトコルとして設計され、制御プロトコルは1つになりました。これにはセキュリティ上の理由がなく、NDはARPと同様にスプーフィングの影響を受けやすく、NDはセキュリティのために設計されたものではありませんでした
IPv6開発の初期の頃は、IPsecは一般的なセキュリティ対策とみなされていたため、必須でした。しかし、この要件は勧告(RFC 6434)に格下げされており(RFC 6434は、ほとんどが組み込み機器やIoTのためだと思いますが、これらは単に公開鍵計算を実行することができないだけでなく、あらゆる種類のPKI問題に躓くことになります)、NDの安全性を確保するためには(丁寧に言えば)うまく機能しません。SeNDはNDにセキュリティを追加するために導入されましたが、過去のソフトウェア設計における遡及的なセキュリティの試みは事実上すべてそうでしたが、その結果は最適なものではありませんでした。SeNDの実装は実験的なものを除いてはまだ存在しないので、実用的な目的ではSeNDは存在しません。さらに、SeND – 少なくともその現在の形で – は決して離陸しないと信じるに足る理由があります
対照的に、SAVIはより有望に見えますが、スイッチングインフラの変更が必要であり、SAVI対応機器は低価格ではないため、すぐに普及するとは言えません。SAVIは、サイト内でHWアドレス(すなわちMACアドレス)とIPアドレスの間のマッピングが正当なものであることを「知っている」べきであり、したがって、偽のNDPメッセージを識別して除去することが可能でなければならないという根拠に基づいて機能しています
最高のレシピは最もシンプルなものですが、見落とされがちです。大きな LAN を小さな LAN に分割し、ARP や ND-spoofing は同じ LAN 内のターゲットに対してのみ機能するようにします。そのため、信頼できないデバイスをそれぞれのLANセグメントに配置するだけで(ファイアウォールやフィルタリングのルールは必要ありません)、攻撃対象を大幅に減らすことができます
6 countermode 2017-03-13
