В среде Cisco (ISR-G2) как предотвратить или смягчить неправильные объявления RA?
Я вижу, что у Cisco есть " IPv6 RA Guard " ... Но это только бежит на маршрутизаторе и "сопротивляется" с правильными RA? Разве не имеет смысла иметь коммутаторы, отфильтровывающие фиктивные RA из сети? (Или я излишне параноидален по поводу фальшивых РА?)
Это из руководства по конфигурации для IOS 15.2T. Функция называется RA guard. В основном вы создаете политику и определяете, ведет ли порт, к которому это будет применено, к хосту или маршрутизатору. Тогда вы можете быть более конкретным и сопоставлять лимиты прыжка, управляемый-config-flag и сопоставлять в ACL с диапазоном, откуда должны поступать доверенные источники. Вы также можете сделать порт надежным и не делать никаких дальнейших проверок.
В некотором смысле это очень похоже на отслеживание DHCP. Основные шаги:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Затем вы можете использовать эту команду для проверки:
show ipv6 nd raguard policy
Если ваши коммутаторы поддерживают эту функцию, то имеет смысл поймать RA как можно раньше. Я не думаю, что это параноик. То же самое можно сказать и о DHCP. Иногда это даже не злонамеренные пользователи, это просто случай, когда люди не знают лучше или подключают дрянные устройства к сети.
Из RFC 6105 : «RA-Guard применяется к среде, в которой все сообщения между конечными устройствами IPv6 пересекают управляемые сетевые устройства L2». То есть он делает то, что вы говорите, он должен делать; отфильтровывать мошеннические RA при входе в switchport. Он работает по принципу блокирования против принятия, а не просто кричит громче, чем другой парень.
Cisco предлагает RA-guard в качестве средства защиты от непривилегированных портов, отправляющих несанкционированные RA.
Тем не менее, одно только это не гарантирует защиту, поскольку существует несколько инструментов атаки (на ум приходит THC), которые разбивают объявление маршрутизатора на фрагменты, тем самым побеждая охрану RA.
Лучшая защита от этого - отбрасывать фрагментированные пакеты ICMPv6, поскольку, вообще говоря, шансы на законную необходимость фрагментирования дейтаграммы ICMPv6 (кроме очень большого пинга) невелики.