Vlákno názorů k článku IPv6 Mýty a skutečnost, díl VI. - Bezpečnostní mechanizmy od LP - Program flood_router6 neposílá ICMP zprávy Neighbour Solitication, ale...
-
LP (neregistrovaný)
Program flood_router6 neposílá ICMP zprávy Neighbour Solitication, ale Router Advertisement.
Jsou dva způsoby obrany proti tomuto útoku. První spočívá ve filtrování oznámení směrovače (Router Advertisement) na všech portech přepínačů s výjimkou portů vedoucím ke směrovači. Toto umí pouze některé směrovače.
Druhá varianta spočívá v tom, že jako správce jsem schopen řídit stanice, které se připojí k přepínačům (802.1x) a současně jsem schopen řídit, jaké programy mohou uživatelé na těchto stanicích spouštět (např. dobře nakonfigurované politiky v rámci MS Network). Tento přístup není vhodný pro některé typy sítí jako jsou např. vysokoškolské koleje.
-
Se zprávami NS a RA máte samořejmě parvdu. flood_router6 skutetečně zasílá kvanta oznámení směrovače. Děkuji za upozornění - pokusím se sjednat nápravu.
Co se týče možnosti filtrace, tak jsme to řešili ve IV. dílu (http://www.lupa.cz/clanky/ipv6-myty-a-skutecnost-dil-iv-podpora-autokonfigurace/). Souhlasím možnosti filtrace tady jsou už dneska. Nejsou ovšem úplně zadarmo. Pokud si porovnáte cenu přepínače, který umí tyhle "vymoženosti" pro IPv4, tak jej mnohdy pořidíte za polovinu ceny přepínače, který umí tyhle věci pro IPv6. V malých číslech se to nemusí tolik projevit, ale pokud řešíte infrastrukturu řekněme s dvěmi tisíci připojnými porty, tak ten cenový rozdíl je markantní.
Chci tím pouze říct, že zavádění IPv6 není pouhé nakonfigurování sítí na rozhraních směrovače (jak se někdy s oblibou prezentuje), ale věc má mnohdy daleko větší přesah a tedy i finanční dopad než se na první pohled může zdát.
ČLÁNKY DO MAILU