Mengurangi pengumuman IPv6 RA yang buruk / berbahaya


9

Dalam lingkungan Cisco (ISR-G2), bagaimana cara saya mencegah, atau mengurangi, pengumuman RA yang salah?

Saya melihat Cisco memiliki " IPv6 RA Guard " ... Tapi apakah itu hanya berjalan di router dan "melawan" dengan RA yang benar? Bukankah lebih masuk akal jika sakelar memfilter RA palsu keluar dari jaringan? (Atau apakah saya terlalu paranoid tentang RA palsu?)

Jawaban:


10

Ini dari panduan konfigurasi untuk iOS 15.2T. Fitur ini disebut RA guard. Pada dasarnya Anda membuat kebijakan dan menentukan apakah port yang akan diterapkan ini mengarah ke host atau ke router. Kemudian Anda bisa lebih spesifik dan mencocokkan pada batas hop, bendera terkelola-terkelola dan mencocokkan pada ACL dengan rentang dari mana sumber tepercaya seharusnya berasal. Anda juga dapat membuat port dipercaya dan tidak melakukan pemeriksaan lebih lanjut.

Dalam beberapa hal ini sangat mirip dengan pengintaian DHCP. Langkah-langkah dasarnya adalah:

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

Kemudian Anda dapat menggunakan perintah ini untuk memverifikasi:

show ipv6 nd raguard policy

Jika sakelar Anda mendukung fitur tersebut, maka masuk akal untuk menangkap RA sedini mungkin. Saya tidak berpikir itu menjadi paranoid. Hal yang sama bisa dikatakan untuk DHCP. Kadang-kadang itu bahkan bukan pengguna jahat, itu hanya kasus orang tidak tahu yang lebih baik atau menghubungkan perangkat jelek ke jaringan.


8

Dari RFC 6105 : "RA-Guard berlaku untuk lingkungan di mana semua pesan antara perangkat akhir IPv6 melintasi perangkat jaringan L2 yang dikontrol." Yaitu, ia melakukan apa yang Anda katakan harus dilakukan; saring RAS jahat di switchport ingress. Ini beroperasi pada prinsip memblokir vs menerima, tidak hanya berteriak lebih keras daripada pria lain.


6

Cisco menawarkan RA-guard sebagai sarana untuk melindungi terhadap port yang tidak terjangkau yang mengirimkan RA yang tidak benar.

Namun, mengaktifkan ini saja tidak dijamin untuk melindungi Anda karena ada beberapa alat serangan yang ada (THC muncul dalam pikiran) yang akan membagi Iklan Router menjadi fragmen, sehingga mengalahkan penjaga RA.

Perlindungan terbaik terhadap hal ini adalah dengan menjatuhkan paket ICMPv6 yang terfragmentasi karena, secara umum, kemungkinan diperlukan secara sah untuk memecah datagram ICMPv6 (selain dari ping yang sangat besar) tidak ada artinya.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.