Volevo capire come usare IPv6 DAD delega in ambienti PVLAN durante le mie vacanze al mare, e come ho avuto alcun accesso a Internet regolare deciso di scaricare l'intera serie di guide di configurazione IPv6 mentre godendo la tazza di caffè in un Internet café.Apertura della Guida alla configurazione IPv6 First Hop Security è stata una delle più piacevoli sorprese (professionali) che ho avuto di recente.
Cisco IOS ha (almeno) questi IPv6 funzionalità di sicurezza prima-hop:
IPv6 RA Guardia rifiuta falsi messaggi provenienti da RA (non router) le porte (non so se gestisce tutti i possibili attacchi IPv6 frammentazione) host. È interessante notare, può anche validare il contenuto dei messaggi RA (flag di configurazione, elenco dei prefissi) ricevuti attraverso le porte-router fronte, potenzialmente dando una garanzia contro un attacco di grasso delle dita.
DHCPv6 Guard blocca i messaggi DHCPv6 provenienti dai server DHCPv6 non autorizzati e relè. Come IPv6 RA Guard convalida anche la DHCPv6 risposte provenienti dai server DHCPv6 autorizzati, potenzialmente fornire protezione contro errori di configurazione del server DHCPv6.
Snooping IPv6 e il monitoraggio dispositivo costruisce un IPv6 First Hop Security Binding Table (nome più bello per la tavola ND) attraverso il monitoraggio dei messaggi DHCPv6 e ND, nonché regolare il traffico IPv6. La tabella di rilegatura può essere utilizzato per interrompere ND spoofing (nel mondo IPv4 noi chiameremmo questa funzione DHCP snooping e Dynamic ARP Inspection).
Guard Source IPv6 utilizza la tabella Binding IPv6 First Hop Security far cadere il traffico proveniente da fonti sconosciute o non affronta fasullo IPv6 nella tabella vincolante.L'interruttore cerca anche di recuperare da informazioni sull'indirizzo perso, interrogazione server DHCPv6 oppure utilizzando Neighbor Discovery IPv6 per verificare l'indirizzo IPv6 di origine dopo aver lasciato il pacchetto incriminato (s).
IPv6 Prefisso Guard è nega illegale traffico off-subnet. Esso utilizza le informazioni raccolte dai messaggi RA e l'opzione IA_PD delle risposte DHCPv6 (prefissi delegati) per costruire la tabella dei prefissi validi.
IPv6 Prefisso Guard è una caratteristica layer-2. Si dovrebbe usare uRPF controllo in layer-3 interfacce.
IPv6 Destinazione Guardia scende traffico IPv6 inviato direttamente connesso indirizzi di destinazione non in IPv6 First Hop Security Binding Table, fermandosi in modo efficace gli attacchi di esaurimento ND.
Riassunto: Cisco IOS sembra essere il software di rete con il più completo set di funzioni di sicurezza IPv6 prima-hop. Come sempre, alcune funzioni potrebbero non essere disponibili su alcune piattaforme - Funzione uso del navigatore per capire che caratterizza la vostra switch supporto IPv6-capable.
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.