In un ambiente Cisco (ISR-G2), come posso prevenire o mitigare annunci RA errati?
Vedo che Cisco ha " IPv6 RA Guard " ... Ma funziona solo sul router e "reagisce" con RA corrette? Non avrebbe più senso avere switch che filtrano RA fasulli fuori dalla rete? (O sto diventando troppo paranoico riguardo a RA fasulle?)
Risposte:
Questo è dalla guida alla configurazione di IOS 15.2T. La funzione si chiama protezione RA. Fondamentalmente si crea un criterio e si definisce se la porta a cui verrà applicato conduce a un host o a un router. Quindi puoi essere più specifico e abbinare sul limite hop, managed-config-flag e abbinare su un ACL con un intervallo da cui dovrebbero provenire le fonti attendibili. È inoltre possibile rendere attendibile la porta e non eseguire ulteriori controlli.
In un certo senso è molto simile allo snooping DHCP. I passaggi di base sono:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Quindi è possibile utilizzare questo comando per verificare:
show ipv6 nd raguard policy
Se i tuoi switch supportano la funzione, ha senso catturare le RA il prima possibile. Non credo sia paranoico. Lo stesso si può dire per DHCP. A volte non sono nemmeno utenti malintenzionati, è solo un caso di persone che non conoscono meglio o che collegano dispositivi schifosi alla rete.
Da RFC 6105 : "RA-Guard si applica a un ambiente in cui tutti i messaggi tra dispositivi terminali IPv6 attraversano i dispositivi di rete L2 controllati." Cioè, fa quello che dici che dovrebbe fare; filtrare RA canaglia all'ingresso dello switchport. Funziona secondo il principio del blocco contro l'accettazione, non solo di gridare più forte dell'altro.
Cisco offre RA-guard come mezzo per proteggere dalle porte non privilegiate che inviano RA canaglia.
Tuttavia, abilitare questo da solo non è garantito per proteggerti in quanto esistono diversi strumenti di attacco esistenti (viene in mente il THC) che suddividono la pubblicità del router in frammenti, sconfiggendo così la guardia RA.
La migliore protezione contro questo è di eliminare i pacchetti frammentati ICMPv6 poiché, in generale, le probabilità di dover legittimamente frammentare un datagramma ICMPv6 (a parte un ping molto grande) sono ridotte a nessuno.