나쁜 / 악의적 인 IPv6 RA 발표 완화

Cisco 환경 (ISR-G2)에서 잘못된 RA 공지를 방지하거나 완화하려면 어떻게해야합니까?

Cisco에 " IPv6 RA Guard " 가있는 것을 볼 수 있습니다 . 그러나 라우터에서 실행되고 올바른 RA로 "싸움"합니까? 네트워크에서 가짜 RA를 필터링하는 스위치를 사용하는 것이 더 합리적이지 않습니까? (또는 가짜 RA에 대해 과도하게 편집증입니까?)

이것은 IOS 15.2T의 구성 안내서에 있습니다. 이 기능을 RA 가드라고합니다. 기본적으로 정책을 작성하고 이것이 적용될 포트가 호스트 또는 라우터로 연결되는지 정의하십시오. 그런 다음 홉 제한, managed-config-flag에 대해보다 구체적이고 일치 할 수 있으며 신뢰할 수있는 소스가 제공되는 범위의 ACL에서 일치 할 수 있습니다. 포트를 신뢰할 수있게하고 추가 점검을 수행하지 않을 수도 있습니다.

어떤면에서 이것은 DHCP 스누핑과 매우 유사합니다. 기본 단계는 다음과 같습니다.

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

그런 다음이 명령을 사용하여 다음을 확인할 수 있습니다.

show ipv6 nd raguard policy

스위치가이 기능을 지원하면 가능한 빨리 RA를 포착하는 것이 좋습니다. 나는 그것이 편집증에 있다고 생각하지 않습니다. DHCP에 대해서도 마찬가지입니다. 때로는 악의적 인 사용자도 아니며, 사람들이 더 잘 알지 못하거나 crappy 장치를 네트워크에 연결하지 않는 경우 일뿐입니다.

RFC 6105 부터 : "RA-Guard는 IPv6 엔드 장치 간의 모든 메시지가 제어 된 L2 네트워킹 장치를 통과하는 환경에 적용됩니다." 즉, 그것은 당신이해야 할 말을합니다. 스위치 포트 진입시 불량 RA를 필터링합니다. 그것은 다른 사람보다 크게 소리 치는 것이 아니라 차단과 수용의 원칙에 따라 작동합니다.

Cisco는 불량 RA를 전송하는 권한이없는 포트로부터 보호하기위한 수단으로 RA-guard를 제공합니다.

그러나 라우터 알림을 여러 조각으로 분할하여 RA 가드를 물리 치는 여러 가지 공격 도구 (THC 스프링을 염두에 두어야 함)가 있기 때문에이 기능 만 사용한다고 보장 할 수는 없습니다.

이를 방지하는 가장 좋은 방법은 조각난 ICMPv6 패킷을 삭제하는 것입니다. 일반적으로 ICMPv6 데이터 그램을 조각화해야 할 가능성은 매우 큽니다 (매우 큰 핑 제외).