W jaki sposób w środowisku Cisco (ISR-G2) mogę zapobiegać nieprawidłowym ogłoszeniom RA lub je łagodzić?
Widzę, że Cisco ma „ IPv6 RA Guard ” ... Ale czy to działa tylko na routerze i „walczy” z prawidłowymi RA? Czy nie byłoby sensowniej mieć przełączniki odfiltrowujące fałszywe RA z sieci? (Czy też jestem zbyt paranoikiem odnośnie fałszywych RA?)
Odpowiedzi:
To jest z przewodnika konfiguracji dla IOS 15.2T. Ta funkcja nazywa się strażnikiem RA. Zasadniczo tworzysz zasady i określasz, czy port, który zostanie zastosowany, prowadzi do hosta lub routera. Następnie możesz być bardziej szczegółowy i dopasowywać limit przeskoków, flagę zarządzanej konfiguracji i dopasowywać na liście ACL z zakresem, z którego powinny pochodzić zaufane źródła. Możesz także uczynić port zaufanym i nie wykonywać żadnych dalszych kontroli.
Pod pewnymi względami jest to bardzo podobne do szpiegowania DHCP. Podstawowe kroki to:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Następnie możesz użyć tego polecenia, aby sprawdzić:
show ipv6 nd raguard policy
Jeśli twoje przełączniki obsługują tę funkcję, warto złapać RA jak najwcześniej. Nie sądzę, żeby to było paranoikiem. To samo można powiedzieć o DHCP. Czasami nawet nie są to złośliwi użytkownicy, to tylko przypadek, gdy ludzie nie wiedzą lepiej lub nie podłączają do sieci gównianych urządzeń.
Z RFC 6105 : „RA-Guard ma zastosowanie w środowisku, w którym wszystkie wiadomości między urządzeniami końcowymi IPv6 przechodzą przez kontrolowane urządzenia sieciowe L2”. Oznacza to, że robi to, co mówisz, że powinno; odfiltruj nieuczciwe RA przy wejściu do portu przełączania. Działa na zasadzie blokowania vs. akceptacji, a nie tylko krzyczenia głośniej niż drugi facet.
Cisco oferuje ochronę RA jako środek ochrony przed nieuprzywilejowanymi portami wysyłającymi fałszywe RA.
Jednak samo włączenie tej opcji nie gwarantuje ochrony, ponieważ istnieje kilka narzędzi ataku (przypomina to THC), które podzielą reklamę routera na fragmenty, pokonując w ten sposób ochronę RA.
Najlepszą ochroną przed tym jest upuszczenie pofragmentowanych pakietów ICMPv6, ponieważ ogólnie mówiąc, szanse na uzasadnioną potrzebę fragmentacji datagramu ICMPv6 (poza bardzo dużym pingiem) są niewielkie.