Wie kann ich in einer Cisco-Umgebung (ISR-G2) falsche RA-Ankündigungen verhindern oder abschwächen?
Ich sehe, dass Cisco " IPv6 RA Guard " hat ... Aber läuft das nur auf dem Router und "wehrt" sich mit korrekten RAs? Wäre es nicht sinnvoller, wenn Switches falsche RAs aus dem Netzwerk herausfiltern? (Oder bin ich übermäßig paranoid in Bezug auf falsche RAs?)
Antworten:
Dies ist aus dem Konfigurationshandbuch für IOS 15.2T. Die Funktion heißt RA Guard. Grundsätzlich erstellen Sie eine Richtlinie und definieren, ob der Port, auf den dies angewendet wird, zu einem Host oder zu einem Router führt. Dann können Sie spezifischer sein und auf Hop-Limit, Managed-Config-Flag und Match auf einer ACL mit einem Bereich übereinstimmen, aus dem die vertrauenswürdigen Quellen stammen sollen. Sie können den Port auch vertrauenswürdig machen und keine weiteren Überprüfungen durchführen.
In mancher Hinsicht ist dies dem DHCP-Snooping sehr ähnlich. Die grundlegenden Schritte sind:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Dann können Sie diesen Befehl verwenden, um Folgendes zu überprüfen:
show ipv6 nd raguard policy
Wenn Ihre Switches diese Funktion unterstützen, ist es sinnvoll, die RAs so früh wie möglich zu erfassen. Ich denke nicht, dass es zu paranoid ist. Gleiches gilt für DHCP. Manchmal sind es nicht einmal böswillige Benutzer, sondern nur Leute, die es nicht besser wissen oder beschissene Geräte mit dem Netzwerk verbinden.
Aus RFC 6105 : "RA-Guard gilt für eine Umgebung, in der alle Nachrichten zwischen IPv6-Endgeräten die gesteuerten L2-Netzwerkgeräte durchlaufen." Das heißt, es tut, was Sie sagen, dass es tun sollte; Filtern Sie unerwünschte RAs beim Eintritt in den Switchport heraus. Es funktioniert nach dem Prinzip des Blockierens oder Akzeptierens und schreit nicht nur lauter als der andere.
Cisco bietet RA-Guard als Mittel zum Schutz vor nicht privilegierten Ports an, die unerwünschte RAs versenden.
Das Aktivieren dieser Option allein schützt Sie jedoch nicht garantiert, da es mehrere Angriffstools gibt (THC fällt mir ein), die die Router-Ankündigung in Fragmente aufteilen und damit den RA-Schutz besiegen.
Der beste Schutz dagegen besteht darin, fragmentierte ICMPv6-Pakete zu verwerfen, da die Wahrscheinlichkeit, dass ein ICMPv6-Datagramm (abgesehen von einem sehr großen Ping) legitimerweise fragmentiert werden muss, im Allgemeinen gering ist.