Passa al contenuto principale

2. Revisione dei Problemi ND Inventariati

2.1. Il Multicast Può Causare Problemi di Prestazioni e Affidabilità

In alcuni casi, ND utilizza il multicast per NS, NA, RS e RA. Il multicast è molto efficiente in alcuni scenari (ad es., reti cablate), ma può essere inefficiente in altri (ad es., grandi reti L2 o reti wireless).

In generale, il multicast può generare una grande quantità di traffico di protocollo nelle grandi reti L2. Questo consuma larghezza di banda di rete, aumenta il carico di elaborazione e può degradare le prestazioni della rete [RFC7342].

Nelle reti wireless, il multicast può essere inefficiente o inaffidabile a causa di una maggiore probabilità di collisione di trasmissione, velocità di dati più basse e assenza di riconoscimento (Sezione 3.1 di [RFC9119]).

I problemi di prestazioni correlati al multicast per vari messaggi ND sono riassunti di seguito:

  • Problema 1: LLA DAD degrada le prestazioni

    In una rete L2 con N indirizzi (che può essere molto più grande del numero di host poiché ogni host può avere più indirizzi), possono esserci N di questi messaggi multicast. Quando N è grande, questo può causare problemi di prestazioni.

  • Problema 2: Gli RA periodici non richiesti del router esauriscono la batteria dell'host

    Gli RA multicast sono generalmente limitati a 1 pacchetto per MIN_DELAY_BETWEEN_RAS (3 secondi), e di solito ci sono solo uno o due router su un link, quindi è improbabile che causino problemi di prestazioni. Tuttavia, per gli host alimentati a batteria, tali messaggi possono svegliarli ed esaurire la loro batteria [RFC7772].

  • Problema 3: GUA DAD degrada le prestazioni

    Identico al Problema 1.

  • Problema 4: La risoluzione degli indirizzi dal router all'host degrada le prestazioni

    Identico al Problema 1.

  • Problema 5: La risoluzione degli indirizzi da host a host degrada le prestazioni

    Identico al Problema 1.

  • Problema da studiare: Gli NA multicast per i cambiamenti di indirizzo MAC dell'host possono degradare le prestazioni

    Con indirizzi MAC randomizzati e mutevoli [MADINAS], può esserci un gran numero di questi messaggi multicast.

Nelle reti wireless, il multicast ha una maggiore probabilità di causare perdite di pacchetti. Poiché DAD tratta l'assenza di risposta come mancata rilevazione di indirizzo duplicato, le perdite di pacchetti possono impedire il rilevamento di indirizzi duplicati. I problemi di affidabilità del multicast sono riassunti di seguito:

  • Problema 6: LLA DAD non è completamente affidabile nelle reti wireless

  • Problema 7: GUA DAD non è completamente affidabile nelle reti wireless

Nota: Le collisioni di indirizzi IPv6 sono estremamente improbabili. Pertanto, questi due problemi sono teorici piuttosto che pratici.

In scenari come le reti di accesso pubblico, alcuni nodi possono non essere affidabili. Un attaccante sul link può causare i seguenti problemi di sicurezza on-link [RFC3756] [RFC9099]:

  • Problema 8: Spoofing dell'indirizzo IP sorgente

    Un attaccante può utilizzare l'indirizzo IP di un altro nodo come indirizzo sorgente nei messaggi ND per impersonare quel nodo. L'attaccante può quindi lanciare vari attacchi di reindirizzamento o denial-of-service (DoS).

  • Problema 9: Denial of DAD

    Un attaccante può rispondere ripetutamente ai messaggi DAD di una vittima, facendo fallire la procedura di configurazione dell'indirizzo della vittima, portando a un DoS contro la vittima.

  • Problema 10: RA non autorizzati

    Un attaccante può inviare RA agli host vittima per impersonare un router. L'attaccante può quindi lanciare vari attacchi di reindirizzamento o DoS.

  • Problema 11: Redirect falsificati

    Un attaccante può inviare redirect contraffatti agli host vittima per reindirizzare il loro traffico verso router legittimi o verso se stesso.

  • Problema 12: Attacchi di replay

    Un attaccante può catturare messaggi ND validi e riprodurli successivamente.

2.3. Router-NCE-on-Demand Può Causare Ritardo di Inoltro, Esaurimento NCE e Problemi di Responsabilità degli Indirizzi

Quando un router deve inoltrare un pacchetto a un nodo ma non ha ancora una Neighbor Cache Entry (NCE) per quel nodo, crea prima una NCE nello stato INCOMPLETE. Il router quindi invia un NS multicast all'indirizzo multicast solicited-node del nodo. Quando la destinazione risponde con un NA contenente l'indirizzo MAC, il router aggiorna la NCE con quell'indirizzo e cambia il suo stato in REACHABLE, completando la voce. Questo processo è chiamato "Router-NCE-on-Demand" in questo documento.

Router-NCE-on-Demand può causare i seguenti problemi:

  • Problema 13: Esaurimento NCE

    Un attaccante può inviare un grande volume di pacchetti destinati a indirizzi IP inesistenti, costringendo il router a creare molte NCE nello stato INCOMPLETE. L'esaurimento delle risorse risultante può causare il malfunzionamento del router. Questa vulnerabilità, descritta come "esaurimento NCE" in questo documento, non richiede che l'attaccante sia sul link.

  • Problema 14: Ritardo di inoltro del router

    Quando un pacchetto arriva al router, il router lo bufferizza mentre tenta di determinare l'indirizzo MAC dell'host. Questo buffering ritarda l'inoltro e può portare a perdite di pacchetti a seconda della dimensione del buffer del router. Questo ritardo è chiamato "ritardo di inoltro Router-NCE-on-Demand" in questo documento.

  • Problema 15: Mancanza di responsabilità degli indirizzi

    Con SLAAC, gli host generano indirizzi IP. Il router non conosce l'indirizzo IP di un host finché non viene creata una voce NCE. Con DHCPv6 [RFC8415], il router potrebbe non conoscere l'indirizzo di un host a meno che non venga eseguito il DHCPv6 snooping. Nelle reti di accesso pubblico, dove la gestione degli abbonati si basa spesso sull'identificazione dell'indirizzo IP (o prefisso), questa mancanza di responsabilità degli indirizzi pone una sfida [AddrAcc]. Senza conoscere gli indirizzi IP degli host, gli amministratori di rete non possono gestire efficacemente gli abbonati, il che è particolarmente problematico nelle reti di accesso pubblico. Inoltre, una volta che il router ha creato le NCE, ND [RFC4861] non fornisce un meccanismo per recuperarle a scopo di amministrazione o monitoraggio (come indicato nella Sezione 2.6.1 di [RFC9099]).

2.4. Riepilogo dei Problemi ND

I problemi ND discussi nelle Sezioni 2.1, 2.2 e 2.3 sono riassunti di seguito. Questi problemi derivano da tre cause principali: multicast, fidarsi di tutti i nodi e Router-NCE-on-Demand. L'eliminazione di una di queste cause attenua anche i problemi corrispondenti. Queste osservazioni forniscono una guida per affrontare e prevenire i problemi correlati a ND.

  1. Problemi correlati al multicast:

    • Problemi di prestazioni:

      • Problema 1: LLA DAD degrada le prestazioni
      • Problema 2: Gli RA periodici non richiesti del router esauriscono la batteria dell'host
      • Problema 3: GUA DAD degrada le prestazioni
      • Problema 4: La risoluzione degli indirizzi dal router all'host degrada le prestazioni
      • Problema 5: La risoluzione degli indirizzi da host a host degrada le prestazioni

    • Problemi di affidabilità:

      • Problema 6: LLA DAD non è completamente affidabile nelle reti wireless
      • Problema 7: GUA DAD non è completamente affidabile nelle reti wireless

  2. Problemi correlati al fidarsi di tutti i nodi:

    • Problema 8: Spoofing dell'indirizzo IP sorgente
    • Problema 9: Denial of DAD
    • Problema 10: RA non autorizzati
    • Problema 11: Redirect falsificati
    • Problema 12: Attacchi di replay

  3. Problemi correlati a Router-NCE-on-Demand:

    • Problema 13: Esaurimento NCE
    • Problema 14: Ritardo di inoltro del router
    • Problema 15: Mancanza di responsabilità degli indirizzi

Questi problemi sono vulnerabilità potenziali e non si manifestano in tutti gli scenari di utilizzo.

Quando è probabile che questi problemi si verifichino in un deployment specifico, si raccomanda di considerare le soluzioni di mitigazione disponibili, che sono discusse nella sezione successiva.

Ultimo aggiornamento il