Dans un environnement Cisco (ISR-G2), comment puis-je empêcher ou atténuer les annonces RA incorrectes?
Je vois que Cisco a " IPv6 RA Guard " ... Mais cela fonctionne-t-il simplement sur le routeur et "riposte" avec les RA corrects? Ne serait-il pas plus logique d'avoir des commutateurs filtrant les RA fausses hors du réseau? (Ou suis-je trop paranoïaque à propos des RA fausses?)
Il s'agit du guide de configuration pour IOS 15.2T. La fonction est appelée RA guard. Fondamentalement, vous créez une stratégie et définissez si le port auquel cela s'appliquera mène à un hôte ou à un routeur. Ensuite, vous pouvez être plus spécifique et correspondre à la limite de saut, à l'indicateur de configuration gérée et à la correspondance sur une liste de contrôle d'accès avec une plage d'où les sources fiables doivent provenir. Vous pouvez également faire confiance au port et ne pas effectuer d'autres vérifications.
À certains égards, cela est très similaire à l'espionnage DHCP. Les étapes de base sont les suivantes:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Ensuite, vous pouvez utiliser cette commande pour vérifier:
show ipv6 nd raguard policy
Si vos commutateurs prennent en charge la fonction, il est logique d'attraper les RA le plus tôt possible. Je ne pense pas que ce soit trop paranoïaque. La même chose pourrait être dite pour DHCP. Parfois, ce ne sont même pas des utilisateurs malveillants, c'est juste un cas de personnes qui ne savent pas mieux ou qui connectent des appareils de merde au réseau.
Extrait de la RFC 6105 : "RA-Guard s'applique à un environnement où tous les messages entre les terminaux IPv6 traversent les périphériques réseau L2 contrôlés." Autrement dit, il fait ce que vous dites qu'il devrait faire; filtrer les AR voyous à l'entrée du commutateur. Il fonctionne sur le principe du blocage contre l'acceptation, pas seulement en criant plus fort que l'autre.
Cisco propose RA-guard comme moyen de se protéger contre les ports non privilégiés qui envoient des RA frauduleux.
Cependant, l'activation seule n'est pas garantie pour vous protéger car il existe plusieurs outils d'attaque (THC vient à l'esprit) qui diviseront la publicité du routeur en fragments, battant ainsi la garde RA.
La meilleure protection contre cela est de supprimer les paquets ICMPv6 fragmentés car, de manière générale, les chances d'avoir légitimement besoin de fragmenter un datagramme ICMPv6 (à part un très grand ping) sont minces.