Atenuando anúncios de RA IPv6 ruins / mal-intencionados

9

Em um ambiente Cisco (ISR-G2), como evito ou atenuo anúncios incorretos de RA?

Vejo que a Cisco tem " IPv6 RA Guard " ... Mas isso é executado no roteador e "revidado" com os RAs corretos? Não faria mais sentido ter switches filtrando RAs falsos da rede? (Ou estou sendo excessivamente paranóico em relação a ARs falsas?)

cisco  ipv6 
Craig Constantine
fonte

Respostas:

10

Isto é do guia de configuração para o IOS 15.2T. O recurso é chamado de guarda RA. Basicamente, você cria uma política e define se a porta à qual isso será aplicado leva a um host ou a um roteador. Em seguida, você pode ser mais específico e corresponder ao limite de salto, gerenciado-config-flag e corresponder a uma ACL com um intervalo de onde as fontes confiáveis ​​devem vir. Você também pode tornar a porta confiável e não fazer mais verificações.

De certa forma, isso é muito semelhante ao espião DHCP. Os passos básicos são:

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

Então você pode usar este comando para verificar:

show ipv6 nd raguard policy

Se seus comutadores suportam o recurso, faz sentido capturar os RAs o mais cedo possível. Eu não acho que seja paranóico. O mesmo poderia ser dito para o DHCP. Às vezes, nem são usuários mal-intencionados, é apenas um caso de pessoas que não conhecem melhor ou conectam dispositivos ruins à rede.

Daniel Dib
fonte
8

Do RFC 6105 : "O RA-Guard se aplica a um ambiente em que todas as mensagens entre dispositivos finais IPv6 atravessam os dispositivos de rede L2 controlados". Ou seja, faz o que você diz que deve fazer; filtrar RAs invasores na entrada do switchport. Opera com o princípio de bloquear x aceitar, não apenas gritando mais alto que o outro cara.

neirbowj
fonte
6

A Cisco oferece o RA-guard como um meio de proteção contra portas sem privilégios, enviando RAs não autorizados.

No entanto, a ativação dessa opção sozinha não garante a proteção, pois existem várias ferramentas de ataque (THC vem à mente) que dividirão o Anúncio do roteador em fragmentos, derrotando o RA Guard.

A melhor proteção contra isso é descartar pacotes ICMPv6 fragmentados, pois, de um modo geral, as chances de legitimamente precisar fragmentar um datagrama ICMPv6 (além de um ping muito grande) são mínimas.

Olipro
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.