En un entorno Cisco (ISR-G2), ¿cómo evito o mitigo los anuncios RA incorrectos?
Veo que Cisco tiene " IPv6 RA Guard " ... ¿Pero eso solo se ejecuta en el enrutador y "contraataca" con los RA correctos? ¿No tendría más sentido tener interruptores que filtren RA falsos fuera de la red? (¿O estoy siendo demasiado paranoico sobre los RA falsos?)
Respuestas:
Esto es de la guía de configuración para IOS 15.2T. La característica se llama RA guard. Básicamente, crea una política y define si el puerto que se aplicará a este conduce a un host o un enrutador. Entonces puede ser más específico y coincidir en el límite de salto, bandera de configuración administrada y coincidir en una ACL con un rango de donde deberían provenir las fuentes confiables. También puede hacer que el puerto sea confiable y no realizar más comprobaciones.
De alguna manera, esto es muy similar a la inspección DHCP. Los pasos básicos son:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Luego puede usar este comando para verificar:
show ipv6 nd raguard policy
Si sus conmutadores admiten la función, entonces tiene sentido capturar los RA lo antes posible. No creo que sea paranoico. Lo mismo podría decirse de DHCP. A veces ni siquiera son usuarios malintencionados, es solo un caso de personas que no conocen mejor o que no conectan dispositivos malos a la red.
Del RFC 6105 : "RA-Guard se aplica a un entorno donde todos los mensajes entre dispositivos finales IPv6 atraviesan los dispositivos de red L2 controlados". Es decir, hace lo que usted dice que debería hacer; filtrar los RA no autorizados en la entrada del puerto de conmutación. Funciona según el principio de bloquear frente a aceptar, no solo gritar más fuerte que el otro tipo.
Cisco ofrece protección RA como un medio para proteger contra puertos no privilegiados que envían RA no autorizados.
Sin embargo, habilitar esto solo no garantiza que lo proteja, ya que existen varias herramientas de ataque (THC me viene a la mente) que dividirán el anuncio del enrutador en fragmentos, lo que derrotará a la guardia de RA.
La mejor protección contra esto es descartar paquetes ICMPv6 fragmentados ya que, en términos generales, las posibilidades de tener que fragmentar legítimamente un datagrama ICMPv6 (aparte de un ping muy grande) son escasas o nulas.