Sicherheit: IPv6-Sicherheit des ersten Hops
Schutz vor Angriffen
IPv6 Source Guard wird nur auf nicht vertrauenswürdigen, zum Umkreis gehörenden Schnittstellen
ausgeführt.
Eine IPv6-Nachricht wird in folgenden Fällen von IPv6 Source Guard gelöscht:
•
Die IPv6-Adresse ist nicht in der Tabelle zur Nachbarbindung enthalten.
•
Die IPv6-Adresse ist in der Tabelle enthalten, aber an eine andere Schnittstelle gebunden.
Die IPv6 Source Guard-Funktion initiiert den Prozess zur Nachbarwiederherstellung, indem sie DAD_NS-
Nachrichten für die unbekannten Quell-IPv6-Adressen sendet.
Schutz vor Angriffen
In diesem Abschnitt wird der Schutz vor Angriffen beschrieben, der durch die IPv6-Sicherheit des ersten
Hops bereitgestellt wird.
Schutz vor IPv6-Router-Spoofing
Ein IPv6-Host kann die eingegangenen RA-Nachrichten für Folgendes verwenden:
•
IPv6-Routererkennung
•
Statusfreie Adresskonfiguration
Ein böswilliger Host könnte RA-Nachrichten versenden, sich damit selbst als IPv6-Router ausgeben und
gefälschte Präfixe für die
RA Guard bietet Schutz vor solchen Angriffen, indem die Schnittstellenrolle für alle Schnittstellen, mit denen
IPv6-Router verbunden werden können, als Hostschnittstelle konfiguriert wird.
Schutz vor IPv6-Adressauflösungs-Spoofing
Ein böswilliger Host könnte NA-Nachrichten versenden und sich selbst als IPv6-Host mit der jeweiligen
IPv6-Adresse ausgeben.
Die NB-Integrität bietet wie folgt Schutz gegen solche Angriffe:
•
Wenn die jeweilige IPv6-Adresse nicht bekannt ist, wird die NS-Nachricht (Nachbaranfragenachricht)
nur auf innere Schnittstellen weitergeleitet.
•
Ist die jeweilige IPv6-Adresse bekannt, wird die NS-Nachricht nur an die Schnittstelle weitergeleitet,
an die die IPv6-Adresse gebunden ist.
•
Eine NA-Nachricht (Nachbarankündigungsnachricht) wird gelöscht, wenn die IPv6-Zieladresse an
eine andere Schnittstelle gebunden ist.
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
statusfreie Adresskonfiguration bereitstellen.
21
415