Cisco ortamında (ISR-G2), hatalı RA duyurularını nasıl önleyebilir veya azaltabilirim?
Cisco'nun " IPv6 RA Guard " ı olduğunu görüyorum ... Ama bu sadece yönlendiricide çalışıyor ve doğru RA'larla "mücadele ediyor" mu? Sahte RA'ları filtreleyen anahtarların ağ dışında olması daha anlamlı olmaz mıydı? (Yoksa sahte RA'lar hakkında aşırı derecede paranoyak mıyım?)
Yanıtlar:
Bu, IOS 15.2T için yapılandırma kılavuzundan alınmıştır. Bu özelliğe RA koruması denir. Temel olarak bir ilke oluşturur ve bunun uygulanacağı portun bir ana bilgisayara mı yoksa bir yönlendiriciye mi yol açacağını tanımlarsınız. Daha sonra daha spesifik olabilir ve atlama sınırı, yönetilen-yapılandırma-işareti ile eşleştirilebilir ve bir ACL'de güvenilir kaynakların gelmesi gereken bir aralık ile eşleştirebilirsiniz. Ayrıca bağlantı noktasını güvenilir hale getirebilir ve başka denetim yapamazsınız.
Bazı yönlerden bu DHCP gözetlemesine çok benzer. Temel adımlar:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Ardından şu komutu kullanarak şunları doğrulayabilirsiniz:
show ipv6 nd raguard policy
Anahtarlarınız özelliği destekliyorsa, RA'ları mümkün olduğunca erken yakalamak mantıklıdır. Bunun paranoyak olduğunu sanmıyorum. Aynı şey DHCP için de söylenebilir. Bazen kötü niyetli kullanıcılar bile değil, sadece daha iyi bilmeyen veya ağa boktan cihazlar bağlayan insanlar için bir durumdur.
Gönderen RFC 6105 : "RA-Guard IPv6 uç cihazlar arasındaki tüm mesajları kontrollü L2 ağ cihazları çapraz bir ortamda uygulanır." Yani, yapmanız gerektiğini söylediğiniz şeyi yapar; switchport girişindeki haydut RA'ları filtreleyin. Sadece diğer adama göre daha yüksek sesle bağırmakla kalmayıp, engelleme ve kabul etme ilkesi üzerine çalışır.
Cisco, sahtekâr RA'lar gönderen ayrıcalıklı bağlantı noktalarına karşı koruma sağlamak için RA-guard sunar.
Bununla birlikte, bunu tek başına etkinleştirmenin sizi yönlendireceği garanti edilmez, çünkü Yönlendirici Reklamını parçalara ayıracak ve böylece RA muhafızını yenecek çeşitli saldırı araçları (THC akla gelmektedir) vardır.
Buna karşı en iyi koruma, parçalanmış ICMPv6 paketlerini düşürmektir, çünkü genel olarak, bir ICMPv6 datagramını (çok büyük bir ping dışında) meşru bir şekilde parçalamaya ihtiyaç duyma olasılıkları hiç yoktur.