Yanıtlar:
Evet. İşte bazıları:
ARP sahtekarlığı.
Sahte ARP mesajları bir LAN üzerinden gönderilir, bu da saldırganın MAC adresinin ağdaki meşru bir bilgisayarın veya sunucunun IP adresiyle ilişkilendirilmesine neden olur.
ARP Spoofing / Poisoning hakkında daha fazla bilgi için aşağıya bakın.
MAC Taşması.
Hangi MAC adreslerinin hangi fiziksel bağlantı noktalarının sınırlı bir belleğe sahip olduğunu izleyen çeviri tablosu. Bu, çeviri tablosunun su basması yoluyla bir anahtarın kullanılmasını sağlar. Aşırı verinin nasıl işleneceğini bilmeyen ilkel anahtarlar 'açık başarısız olur' ve tüm ağ çerçevelerini tüm bağlantı noktalarına yayınlar.
MAC Çoğaltma.
Bir MAC Çoğaltma saldırısında, bir anahtar iki bağlantı noktasının aynı MAC adresine sahip olduğunu düşünerek karıştırılır. Veriler her iki bağlantı noktasına da iletileceğinden, IP iletimi gerekmez.
TCP / IP Adres Çözümleme Protokolünün (ARP) Kaynak Güvenliği
IPv6 için iyileştirmeler ve ek özellikler sağlar.
NDP ile Adres Çözümleme Protokolü [ARP], ICMP Router Discovery [RDISC] ve ICMP Redirect [ICMPv4] protokollerinin karşılaştırması için aşağıya bakınız.
Güvenli Komşu Bulma (GÖNDER) Protokolünü kullanır. Kriptografik olarak oluşturulan adresler, bir NDP mesajının talep edilen kaynağının talep edilen adresin sahibi olmasını sağlar.
IPv6 Komşu Keşif Protokolü'nün (NDP) işlevlerinden biri, IPv4'te Adres Çözümleme Protokolü (ARP) tarafından gerçekleştirilen bir işlev olan ağ katmanı (IP) adreslerini bağlantı katmanı (örneğin, Ethernet) adreslerine çözümlemektir. Güvenli Komşu Bulma (SEND) Protokolü, yayın segmentine erişimi olan bir saldırganın, ARP zehirlenmesi olarak bilinen bir teknik olan başka birine yönelik saldırgan trafiğini göndermesi için NDP veya ARP'yi kötüye kullanmalarını engeller.
ARP zehirlenmesine ve NDP işlevlerine karşı diğer saldırılara karşı korunmak için, yayın segmentine erişimi engellemenin mümkün olmadığı durumlarda SEND kullanılmalıdır.
GÖNDER, RFC 3972, Kriptografik Olarak Oluşturulmuş Adresler (CGA) 'da tanımlandığı gibi şifreli olarak oluşturulan adresleri üretmek için RSA anahtar çiftlerini kullanır. Bu, bir NDP mesajının talep edilen kaynağının talep edilen adresin sahibi olmasını sağlar.
Güvenli IPv6 Komşu Bulmasını Yapılandırma Kaynağı
ARP Spoofing ayrıca ARP Zehirlenme Yönlendirme (APR) veya ARP Önbellek Zehirlenmesi olarak da adlandırılır.
ARP sahtekarlığı, kötü niyetli bir aktörün, yerel alan ağı üzerinden sahte ARP (Adres Çözümleme Protokolü) mesajları gönderdiği bir saldırı türüdür. Bu, bir saldırganın MAC adresinin ağdaki meşru bir bilgisayarın veya sunucunun IP adresiyle bağlantılanmasıyla sonuçlanır.
Saldırganın MAC adresi otantik bir IP adresine bağlandığında, saldırgan bu IP adresi için tasarlanan verileri almaya başlar.
ARP sahtekarlığı, kötü niyetli tarafların aktarım halindeki verileri ele geçirmelerini, değiştirmelerini ve hatta durdurmalarını sağlayabilir. ARP sahtekarlığı saldırıları yalnızca Adres Çözümleme Protokolünü kullanan yerel alan ağlarında gerçekleşebilir.
Kaynak Veracode ARP Spoofing
ARP sahtekarlık saldırısına yönelik adımlar genellikle şunları içerir:
Saldırgan bir ARP sahtekarlık aracı açar ve aracın IP adresini bir hedefin IP alt ağına uyacak şekilde ayarlar. Popüler ARP sahtecilik yazılımı örnekleri arasında Arpspoof, Cain & Abel, Arpoison ve Ettercap bulunur.
Saldırgan, hedefin alt ağındaki ana bilgisayarların IP ve MAC adreslerini taramak için ARP sahtekarlık aracını kullanır.
Saldırgan hedefini seçer ve saldırganın MAC adresini ve hedefin IP adresini içeren LAN üzerinden ARP paketleri göndermeye başlar.
LAN üzerindeki diğer ana bilgisayarlar sahte ARP paketlerini önbelleğe aldıkça, bu ana makinelerin kurbana gönderdiği veriler saldırgana gider. Buradan, saldırgan veri çalabilir veya daha karmaşık bir takip saldırısı başlatabilir.
Kaynak Veracode ARP Spoofing
Saldırgan, paketleri incelemeyi (casusluk) incelemeyi, trafiği keşiften kaçınmak için gerçek varsayılan ağ geçidine yönlendirirken, iletmeden önce verileri değiştirmeyi (ortadaki adam saldırısı) veya hizmet reddi başlatmayı seçebilir ağdaki paketlerin bir kısmının veya tamamının atılmasına neden olarak saldırı.
Kaynak Vikipedi ARP sahtekarlığı
IPv6 Komşu Keşfi protokolü, IPv4 protokollerinin Adres Çözümleme Protokolü [ARP], ICMP Router Discovery [RDISC] ve ICMP Redirect [ICMPv4] kombinasyonlarına karşılık gelir.
IPv4'te, Komşu Erişilebilirlik Tespiti için genel olarak kabul edilen bir protokol veya mekanizma yoktur, ancak Hosts Gereksinimleri belgesi [HR-CL] Ölü Geçit Tespiti için bazı olası algoritmalar (Komşu Erişilemezlik Tespiti ele alma sorunlarının bir alt kümesi) belirlemiştir.
Komşu Keşif protokolü, IPv4 protokol kümesi üzerinden çok sayıda iyileştirme sağlar:
Router Discovery, temel protokol setinin bir parçasıdır; ana bilgisayarların yönlendirme protokollerini "sorgulamasına" gerek yoktur.
Yönlendirici Reklamlar bağlantı katmanı adreslerini taşır; yönlendiricinin link katmanı adresini çözmek için ek paket değişimine gerek yoktur.
Yönlendirici Reklamlar bir link için önekleri taşır; "ağ maskesini" yapılandırmak için ayrı bir mekanizmaya gerek yoktur.
Yönlendirici Reklamları, Adres Otomatik Yapılandırmasını etkinleştirir.
Yönlendiriciler, ana bilgisayarların bağlantıda kullanması için bir MTU reklamı yapabilir ve tüm düğümlerin iyi tanımlanmış bir MTU'su olmayan bağlantılarda aynı MTU değerini kullanmasını sağlar.
Adres çözümleme çok noktaya yayınlar, hedef dışındaki düğümlerdeki adres çözümüyle ilgili kesintileri büyük ölçüde azaltarak 16 milyondan (2 ^ 24) çok noktaya yayın adresinin üzerine "yayılır". Dahası, IPv6 olmayan makineler hiç kesilmemelidir.
Yönlendirmeler yeni ilk sekmenin bağlantı katmanı adresini içerir; yönlendirme aldıktan sonra ayrı adres çözünürlüğü gerekmez.
Birden çok önek aynı bağlantıyla ilişkilendirilebilir. Ana bilgisayarlar, varsayılan olarak, tüm bağlantı öneklerini Yönlendirici Reklamlardan öğrenir. Ancak, yönlendiriciler Yönlendirilmiş Reklamlardan bazı önekleri veya tümünü çıkartacak şekilde yapılandırılabilir. Bu gibi durumlarda, ana bilgisayarlar hedeflerin bağlantısız olduğunu varsayıyor ve yönlendiricilere trafik gönderiyorlar. Bir yönlendirici daha sonra uygun şekilde yönlendirmeler verebilir.
IPv4'ten farklı olarak, bir IPv6 yönlendiricisinin alıcısı, bir sonraki atlamanın bağlantıda olduğunu varsayar. IPv4'te, bir ana bilgisayar, bağlantının ağ maskesine göre bağlantıda olmayan bir sonraki sekmeyi belirleyen yönlendirmeleri yok sayar. IPv6 yönlendirme mekanizması [SH-MEDIA] 'da belirtilen XRedirect özelliğine benzer. Düğümlerin, bağlantı yerindeki hedefler için tüm önekleri bilmesinin istenmeyen veya mümkün olmadığı yayınlanmayan ve paylaşılan medya bağlantılarında faydalı olması beklenir.
Komşu Ulaşılmazlık Tespiti, başarısız yönlendiriciler, kısmen başarısız veya bölümlenmiş bağlantılar veya bağlantı katmanı adreslerini değiştiren düğümlerin varlığında paket tesliminin sağlamlığını önemli ölçüde artıran tabanın bir parçasıdır. Örneğin, mobil düğümler eski ARP önbellekleri nedeniyle herhangi bir bağlantıyı kaybetmeden bağlantıyı kaldırabilir.
ARP'den farklı olarak Neighbor Discovery, yarı-link arızalarını tespit eder (Neighbor Unreachability Detection kullanarak) ve iki yönlü bağlantının olmadığı komşulara trafik göndermekten kaçınır.
IPv4 Yönlendirici Keşfi'nin aksine, Yönlendirici Reklamı mesajları tercih alanı içermez. Tercih alanı, farklı "stabilite" olan yönlendiricileri kullanmak için gerekli değildir; Komşu Ulaşılmazlık Tespiti, ölü yönlendiricileri tespit edecek ve çalışan birine geçecektir.
Yönlendiricileri benzersiz bir şekilde tanımlamak için yerel bağlantı adreslerinin kullanılması (Yönlendirici Reklamı ve Yönlendirme mesajları için), ana bilgisayarların site yeniden numaralandırma durumunda yeni genel öneklerin kullanılması durumunda yönlendirici ilişkilerini korumalarını sağlar.
Atlama Sınırı'nı 255'e ayarlayarak, Komşu Bulma, yanlışlıkla veya kasten ND mesajları gönderen bağlantı dışı gönderenlere karşı bağışıklık kazanır. IPv4'te bağlantı dışı gönderenler hem ICMP Yönlendirmeleri hem de Yönlendirici Reklam mesajları gönderebilir.
ICMP katmanına adres çözünürlüğü yerleştirmek, protokolü ARP'den medyadan daha bağımsız hale getirir ve genel IP katmanı kimlik doğrulama ve güvenlik mekanizmalarını uygun şekilde kullanmayı mümkün kılar.
IPv6'da Kaynak RFC 4861 Komşu Keşfi
NDP daha fazla özelliğe sahip ARP dahil:
NDP aracılığıyla, ağdaki cihazlar MAC / link katmanı adresini belirleyebilir (ARP ile aynı işlevi).
NDP kullanarak, ağdaki cihazlar harici bir ağda başka bir cihaza ulaşma yolunu bulabilir ve hedef cihaza en iyi yönlendiriciyi bulabilir.
NDP, IPv6 adreslerinin otomatik yapılandırılmasını sağlar.
ARP ile karşılaştırıldığında, mekanizma farklıdır:
ARP yayın mesajlarını kullanırken, NDP çok noktaya yayın ICMPv6 mesajlarını kullanır.
Cihaz, "Komşu Talepitasyon ICMP Mesajı" veya NS olarak adlandırılan çok noktaya yayın mesajı gönderir . Hedef cihaz bir "Komşu Reklamı ICMP mesajı" veya NA ile yanıt verir .
NS mesajı , IPv6 adreslerinin son 24 bitine sahip tüm konakçıları temsil eden, talep edilen düğüm çok noktaya yayın adresi adı verilen özel bir çok noktaya yayın hedef adresini kullanır . Yayın yerine çok noktaya yayın kullanılması ağda gereksiz trafik akışını azaltır.
ARP yerine NDP'nin tanıtılması, çoğunlukla IP etrafında kontrol protokollerini birleştirme arzusundan kaynaklanıyordu. IPv4, ICMP, IGMP ve ARP / RARP gibi çeşitli kontrol protokollerine sahiptir. IPv6 ile NDP (ARP'nin halefi) yanı sıra MLD (IGMP'nin halefi), ICMPv6'nın alt protokolleri olarak tasarlandı, böylece yalnızca bir kontrol protokolü vardı. Bunun bir güvenlik nedeni yoktu, ND, ARP kadar sahtekarlığa karşı hassastır ve ND güvenlik için tasarlanmamıştır.
IPv6 gelişme ilk günlerinde IPsec olarak görüldügenel güvenlik önlemi ve böylece zorunluydu. Bununla birlikte, bu gereklilik bir tavsiyeye indirgenmiştir (RFC 6434, çoğunlukla basit anahtar hesaplamaları yapamayan gömülü cihazlar ve IoT'ye bağlı olduğuna inanıyorum. Yine de) ve ND'nin güvenliğini sağlamak için (kibarca konuşur) iyi çalışmaz. SeND, ND'ye güvenliği sağlamak için tanıtıldı, ancak geriye dönük güvenliğin yazılım tasarımındaki önceki tüm girişimlerinde olduğu gibi, sonuç optimalden daha azdı. Hala hiçbir SeND uygulaması bulunmadığından bazı deneysel deneyimleri kurtarır, tüm pratik amaçlar için SeND yoktur. Dahası, SeND'nin - en azından şu anki haliyle - asla kalkmayacağına inanmak için sebepler var.
Buna karşılık, SAVI daha umut verici görünüyor, ancak anahtarlama altyapısında değişiklik yapılması gerekiyor ve SAVI özellikli ekipman oldukça düşük fiyatlara sahip değil, bu nedenle hızlı bir şekilde çoğalmayacak. SAVI, bir site dahilinde HW adresleri (yani MAC adresi) ve IP adresleri arasındaki eşlemelerin meşru olduğu ve bu nedenle sahte NDP mesajlarını tanımlamanın ve kaldırmanın mümkün olduğu "bilinmesi" gerektiği konusunda çalışır.
En iyi tarifler en basit tariflerdir ancak çoğu zaman gözden kaçırılırlar: ARP ve ND-spoofing işlerinde sadece aynı LAN'daki hedefler için büyük LAN'ları daha küçüklerine ayırın. Bu nedenle, sadece güvenilir olmayan cihazları kendi LAN segmentlerine (güvenlik duvarına / filtreleme kurallarına gerek duymadan) yerleştirmek saldırı yüzeyini büyük ölçüde azaltacaktır.