ในสภาพแวดล้อมของ Cisco (ISR-G2) ฉันจะป้องกันหรือบรรเทาประกาศ RA ที่ไม่ถูกต้องได้อย่างไร
ฉันเห็นว่า Cisco มี " IPv6 RA Guard " ... แต่นั่นก็แค่ทำงานบนเราเตอร์และ "ต่อสู้" ด้วย RA ที่ถูกต้องหรือไม่ มันจะไม่เหมาะสมกว่าหรือที่จะมีสวิตช์กรอง RAs ปลอมออกจากเครือข่าย (หรือฉันเป็นหวาดระแวงสุดเหวี่ยงเกี่ยวกับ RAs ปลอม?)
คำตอบ:
นี่คือจากคู่มือการกำหนดค่าสำหรับ IOS 15.2T คุณลักษณะนี้เรียกว่า RA Guard โดยทั่วไปคุณสร้างนโยบายและกำหนดว่าพอร์ตที่จะนำไปใช้กับโฮสต์หรือเราเตอร์ จากนั้นคุณสามารถเจาะจงมากขึ้นและจับคู่กับขีด จำกัด hop, managed-config-flag และจับคู่กับ ACL ด้วยช่วงที่แหล่งที่เชื่อถือได้ควรมาจาก นอกจากนี้คุณยังสามารถทำให้พอร์ตที่เชื่อถือได้และไม่ทำการตรวจสอบเพิ่มเติมใด ๆ
ในบางวิธีสิ่งนี้คล้ายกับการสอดแนม DHCP ขั้นตอนพื้นฐานคือ:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
จากนั้นคุณสามารถใช้คำสั่งนี้เพื่อตรวจสอบ:
show ipv6 nd raguard policy
หากสวิทช์ของคุณรองรับคุณสมบัตินั้นจะเป็นการเหมาะสมที่จะจับ RAs ให้เร็วที่สุด ฉันไม่คิดว่ามันจะเป็นเรื่องหวาดระแวง อาจกล่าวได้เช่นเดียวกันสำหรับ DHCP บางครั้งมันก็ไม่ได้เป็นผู้ใช้ที่เป็นอันตรายมันเป็นเพียงกรณีของคนที่ไม่รู้จักดีขึ้นหรือเชื่อมต่ออุปกรณ์เส็งเคร็งกับเครือข่าย
จากRFC 6105 : "RA-Guard ใช้กับสภาพแวดล้อมที่ข้อความทั้งหมดระหว่างอุปกรณ์ปลายทาง IPv6 ผ่านอุปกรณ์เครือข่าย L2 ที่ควบคุม" นั่นคือมันทำในสิ่งที่คุณพูดว่าควรทำ กรอง RAs อันธพาลที่สวิตช์ทางเข้า มันทำงานบนหลักการของการบล็อกกับการยอมรับไม่ใช่แค่ตะโกนดังกว่าคนอื่น
Cisco ขอเสนอ RA-Guard เป็นวิธีการในการป้องกันพอร์ตที่ไม่ได้รับสิทธิพิเศษ
อย่างไรก็ตามการเปิดใช้งานนี้เพียงอย่างเดียวไม่ได้รับประกันว่าจะปกป้องคุณเนื่องจากมีเครื่องมือการโจมตีหลายอย่างที่มีอยู่ (THC สปริงถึงใจ) ซึ่งจะแบ่งโฆษณาเร้าเตอร์ออกเป็นชิ้นส่วนดังนั้นเอาชนะ RA Guard
การป้องกันที่ดีที่สุดคือการทิ้งแพ็คเก็ต ICMPv6 ที่กระจัดกระจายเนื่องจากโดยทั่วไปแล้วอัตราต่อรองที่ถูกต้องตามกฎหมายต้องแยกส่วนดาต้า ICMPv6 (นอกเหนือจากปิงขนาดใหญ่มาก) นั้นบางถึงไม่มีเลย