Herunterladen Inhalt Inhalt Diese Seite drucken

Schutz Vor Dhcpv6-Server-Spoofing; Schutz Vor Nbd-Cache-Spoofing - Cisco Serie 500 Administratorhandbuch

Vorschau ausblenden Andere Handbücher für Serie 500:
Inhaltsverzeichnis

Werbung

Sicherheit: IPv6-Sicherheit des ersten Hops
Schutz vor Angriffen
Schutz vor Spoofing beim Erkennen doppelter IPv6-Adressen
Ein IPv6-Host muss die Erkennung doppelter Adressen für jede zugewiesene IPv6-Adresse durchführen,
indem er eine spezielle NS-Nachricht versendet (Nachbaranfragenachricht für Duplicate Address Detection
(DAD_NS)).
Ein böswilliger Host könnte eine Antwort auf eine DAD_NS-Nachricht versenden und sich damit selbst als
IPv6-Host mit der jeweiligen IPv6-Adresse ausgeben.
Die NB-Integrität bietet wie folgt Schutz gegen solche Angriffe:
Wenn die jeweilige IPv6-Adresse nicht bekannt ist, wird die DAD_NS-Nachricht nur auf innere
Schnittstellen weitergeleitet.
Ist die jeweilige IPv6-Adresse bekannt, wird die DAD_NS-Nachricht nur an die Schnittstelle
weitergeleitet, an die die IPv6-Adresse gebunden ist.
Eine NA-Nachricht wird gelöscht, wenn die IPv6-Zieladresse an eine andere Schnittstelle gebunden ist.

Schutz vor DHCPv6-Server-Spoofing

Ein IPv6-Host kann das DHCPv6-Protokoll für Folgendes verwenden:
Statusfreie Informationskonfiguration
Statushaltige Adresskonfiguration
Ein böswilliger Host könnte Antworten auf DHCPv6-Nachrichten versenden, sich damit als DHCPv6-Server
ausgeben und gefälschte statusfreie Informationen und IPv6-Adressen bereitstellen. DHCPv6 Guard bietet
Schutz vor solchen Angriffen, indem die Schnittstellenrolle für alle Ports, mit denen sich DHCPv6-Server
nicht verbinden können, als Client-Port konfiguriert wird.

Schutz vor NBD-Cache-Spoofing

Ein IPv6-Router unterstützt den Cache für das Nachbarerkennungsprotokoll (NDP), das die IPv6-Adresse für
das letzte Hop-Routing mit der MAC-Adresse verknüpft.
Ein böswilliger Host könnte IPv6-Nachrichten mit einer abweichenden IPv6-Zieladresse für die
Weiterleitung des letzten Hops versenden und damit einen Overflow des NBD-Cache bewirken.
Ein eingebettetes Verfahren in der NDP-Implementierung begrenzt die Anzahl der zulässigen Einträge mit
dem Status „Unvollständig" (INCOMPLETE) im Nachbarerkennungs-Cache. Auf diese Weise wird die
Tabelle vor einem Flooding durch Hacker geschützt.
Administratorhandbuch für Stackable Managed Switches der Serie 500 von Cisco Small Business
24
493

Werbung

Inhaltsverzeichnis
loading

Inhaltsverzeichnis