Em um ambiente Cisco (ISR-G2), como evito ou atenuo anúncios incorretos de RA?
Vejo que a Cisco tem " IPv6 RA Guard " ... Mas isso é executado no roteador e "revidado" com os RAs corretos? Não faria mais sentido ter switches filtrando RAs falsos da rede? (Ou estou sendo excessivamente paranóico em relação a ARs falsas?)
Isto é do guia de configuração para o IOS 15.2T. O recurso é chamado de guarda RA. Basicamente, você cria uma política e define se a porta à qual isso será aplicado leva a um host ou a um roteador. Em seguida, você pode ser mais específico e corresponder ao limite de salto, gerenciado-config-flag e corresponder a uma ACL com um intervalo de onde as fontes confiáveis devem vir. Você também pode tornar a porta confiável e não fazer mais verificações.
De certa forma, isso é muito semelhante ao espião DHCP. Os passos básicos são:
ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT
Então você pode usar este comando para verificar:
show ipv6 nd raguard policy
Se seus comutadores suportam o recurso, faz sentido capturar os RAs o mais cedo possível. Eu não acho que seja paranóico. O mesmo poderia ser dito para o DHCP. Às vezes, nem são usuários mal-intencionados, é apenas um caso de pessoas que não conhecem melhor ou conectam dispositivos ruins à rede.
Do RFC 6105 : "O RA-Guard se aplica a um ambiente em que todas as mensagens entre dispositivos finais IPv6 atravessam os dispositivos de rede L2 controlados". Ou seja, faz o que você diz que deve fazer; filtrar RAs invasores na entrada do switchport. Opera com o princípio de bloquear x aceitar, não apenas gritando mais alto que o outro cara.
A Cisco oferece o RA-guard como um meio de proteção contra portas sem privilégios, enviando RAs não autorizados.
No entanto, a ativação dessa opção sozinha não garante a proteção, pois existem várias ferramentas de ataque (THC vem à mente) que dividirão o Anúncio do roteador em fragmentos, derrotando o RA Guard.
A melhor proteção contra isso é descartar pacotes ICMPv6 fragmentados, pois, de um modo geral, as chances de legitimamente precisar fragmentar um datagrama ICMPv6 (além de um ping muito grande) são mínimas.