Giảm thiểu các thông báo IPv6 RA xấu / độc hại

9

Trong môi trường Cisco (ISR-G2), làm cách nào để ngăn chặn hoặc giảm thiểu các thông báo RA không chính xác?

Tôi thấy Cisco có " IPv6 RA Guard " ... Nhưng điều đó có chạy trên bộ định tuyến và "chống trả" với các RA chính xác không? Sẽ không có ý nghĩa hơn khi có các thiết bị chuyển mạch lọc RA không có thật ra khỏi mạng? (Hay tôi đang quá hoang tưởng về RA không có thật?)

cisco  ipv6 
Craig Constantine
nguồn

Câu trả lời:

10

Đây là từ hướng dẫn cấu hình cho iOS 15.2T. Tính năng này được gọi là bảo vệ RA. Về cơ bản, bạn tạo một chính sách và xác định xem cổng mà điều này sẽ được áp dụng để dẫn đến máy chủ hoặc bộ định tuyến. Sau đó, bạn có thể cụ thể hơn và khớp với giới hạn hop, cờ được quản lý-cờ và khớp trên ACL với phạm vi mà các nguồn đáng tin cậy sẽ đến. Bạn cũng có thể làm cho cổng đáng tin cậy và không thực hiện bất kỳ kiểm tra nào nữa.

Trong một số cách, điều này rất giống với DHCP snooping. Các bước cơ bản là:

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

Sau đó, bạn có thể sử dụng lệnh này để xác minh:

show ipv6 nd raguard policy

Nếu các công tắc của bạn hỗ trợ tính năng này thì việc nắm bắt RA càng sớm càng tốt. Tôi không nghĩ rằng nó bị hoang tưởng. Điều tương tự có thể được nói cho DHCP. Đôi khi, nó thậm chí không phải là người dùng độc hại, đó chỉ là trường hợp mọi người không biết rõ hơn hoặc kết nối các thiết bị nhảm nhí với mạng.

Daniel Dib
nguồn
8

Từ RFC 6105 : "RA-Guard áp dụng cho môi trường nơi tất cả các tin nhắn giữa các thiết bị cuối IPv6 đi qua các thiết bị mạng L2 được điều khiển." Đó là, nó làm những gì bạn nói nó nên làm; lọc ra RAs giả mạo tại đường vào tổng đài. Nó hoạt động theo nguyên tắc chặn so với chấp nhận, không chỉ la hét to hơn người kia.

neirbowj
nguồn
6

Cisco cung cấp bảo vệ RA như một phương tiện để bảo vệ chống lại các cổng không có đặc quyền gửi ra các RA lừa đảo.

Tuy nhiên, việc kích hoạt điều này một mình không được đảm bảo để bảo vệ bạn vì có một số công cụ tấn công tồn tại (THC nảy ra trong tâm trí) sẽ chia Quảng cáo Bộ định tuyến thành các mảnh, do đó đánh bại người bảo vệ RA.

Bảo vệ tốt nhất chống lại điều này là loại bỏ các gói ICMPv6 bị phân mảnh vì nói chung, tỷ lệ cần hợp pháp để phân chia một datagram ICMPv6 (ngoài một ping rất lớn) là không có gì.

Olipro
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.