Herunterladen Inhalt Inhalt Diese Seite drucken

Schutz Vor Angriffen; Schutz Vor Ipv6-Router-Spoofing - Cisco Small Business 300 Serie Administratorhandbuch

Managed switches
Vorschau ausblenden Andere Handbücher für Small Business 300 Serie:
Inhaltsverzeichnis

Werbung

Sicherheit: IPv6-Sicherheit des ersten Hops

Schutz vor Angriffen

Schutz vor Angriffen
Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
Um die Größe der Tabelle „Nachbarbindung" zu reduzieren, baut NBI-NDP
Bindungen ausschließlich auf perimetrischen Schnittstellen auf (siehe
Sicherheit des ersten Hops –
über interne Schnittstellen unter Verwendung von NS- und NA-Nachrichten. Vor
der Erstellung einer lokalen NBI-NDP-Bindung sendet das Gerät eine DAD-NS-
Nachricht, um die betroffene Adresse abzufragen. Wenn ein Host mit einer NA-
Nachricht auf diese Nachricht antwortet, geht das Gerät, das die DAD-NS-
Nachricht gesendet hat, davon aus, dass eine Bindung für diese Adresse in einem
anderen Gerät existiert und erstellt daher keine lokale Bindung für diese Adresse.
Ist keine NA-Nachricht als Antwort auf die DAD-NS-Nachricht eingegangen, geht
das lokale Gerät davon aus, dass keine Bindung für diese Adresse auf anderen
Geräten existiert, und erstellt daher die lokale Bindung für diese Adresse.
NBI-NDP unterstützt einen Timer für die gesamte Lebensdauer. Die Werte des
Timers können auf der Seite „Bindungseinstellungen der Nachbarn" konfiguriert
werden. Der Timer wird immer dann neu gestartet, wenn die eingehende IPv6-
Adresse bestätigt wird. Wenn der Timer abläuft, sendet das Gerät zur Prüfung des
Nachbarn bis zu zwei DAD-NS-Nachrichten innerhalb kurzer Intervalle.
NB-Integritätsrichtlinie
Wie bei anderen Funktionen der IPv6-Sicherheit des ersten Hops wird das
Verhalten der NB-Integrität auf einer Schnittstelle durch eine NB-
Integritätsrichtlinie definiert, die mit einer Schnittstelle verknüpft ist. Diese
Richtlinien werden auf der Seite „Bindungseinstellungen der Nachbarn"
konfiguriert.
In diesem Abschnitt wird der Schutz vor Angriffen beschrieben, der durch die
IPv6-Sicherheit des ersten Hops bereitgestellt wird.

Schutz vor IPv6-Router-Spoofing

Ein IPv6-Host kann die eingegangenen RA-Nachrichten für Folgendes verwenden:
IPv6-Routererkennung
Statusfreie Adresskonfiguration
Perimeter) und verteilt die Bindungsinformationen
20
IPv6-
444

Werbung

Inhaltsverzeichnis
loading

Inhaltsverzeichnis