খারাপ / দূষিত IPv6 RA ঘোষণাগুলি প্রশমিত করা

9

একটি সিসকো পরিবেশে (আইএসআর-জি 2), আমি কীভাবে ভুল আরএর ঘোষণাগুলি রোধ করব, বা প্রশমিত করব?

আমি দেখি সিসকোতে " আইপিভি 6 আরএ গার্ড " রয়েছে ... তবে এটি কি কেবল রাউটারে চলে এবং সঠিক আরএ দিয়ে "ফাইট ব্যাক" করে? স্যুইচগুলি ফিল্টারিং বগাস আরএসকে নেটওয়ার্ক থেকে বের করে দেওয়া কি আরও বেশি অর্থবোধ করে না? (নাকি আমি বোগাস আরএ নিয়ে অত্যধিক বেহায়াপন হয়ে যাচ্ছি?)

cisco ipv6

— ক্রেগ কনস্ট্যান্টাইন
সূত্র

10

এটি আইওএস 15.2T এর কনফিগারেশন গাইড থেকে এসেছে। বৈশিষ্ট্যটিকে আরএ গার্ড বলা হয়। মূলত আপনি একটি নীতি তৈরি করেন এবং সংজ্ঞায়িত করেন যদি পোর্টটি এটি প্রয়োগ করে কোনও হোস্ট বা রাউটারের দিকে নিয়ে যায়। তারপরে আপনি আরও সুনির্দিষ্ট হতে পারেন এবং হপ সীমাতে ম্যানেজড-কনফিগার-ফ্ল্যাগ করতে পারেন এবং বিশ্বস্ত উত্সগুলি থেকে আসা এমন একটি পরিসীমা সহ একটি এসিএলে ম্যাচ করতে পারেন। আপনি বন্দরটিকে বিশ্বস্ত করতে পারেন এবং আরও চেক নাও করতে পারেন।

কিছু উপায়ে এটি ডিএইচসিপি স্নুপিংয়ের সাথে খুব মিল। প্রাথমিক পদক্ষেপগুলি হ'ল:

ipv6 nd raguard policy RA-PROTECT
device-role host
interface x/x
ipv6 nd raguard attach-policy RA-PROTECT

তারপরে আপনি যাচাই করতে এই আদেশটি ব্যবহার করতে পারেন:

show ipv6 nd raguard policy

যদি আপনার স্যুইচগুলি বৈশিষ্ট্যটি সমর্থন করে তবে আরএগুলি যত তাড়াতাড়ি সম্ভব ধরা পড়ার অর্থ হবে। আমি ভেবে দেখছি এটি বেহাল হয়ে যাচ্ছে। ডিএইচসিপি-র ক্ষেত্রেও একই কথা বলা যেতে পারে। কখনও কখনও এটি দূষিত ব্যবহারকারীও হয় না, এটি এমন লোকদের ক্ষেত্রে কেবল ভাল জানে না বা ক্রেপি ডিভাইসগুলিকে নেটওয়ার্কে সংযুক্ত করে।

— ড্যানিয়েল দিব
সূত্র

8

আরএফসি 6105 থেকে : "আরএ-গার্ড এমন পরিবেশে প্রযোজ্য যেখানে আইপিভি 6 এন্ড-ডিভাইসগুলির মধ্যে থাকা সমস্ত বার্তা নিয়ন্ত্রিত এল 2 নেটওয়ার্কিং ডিভাইসগুলি অতিক্রম করে।" অর্থাত্, আপনি যা বলবেন তা করা এটি করে; সুইচপোর্ট ইনগ্রেশন এ দুর্বৃত্ত আরএ ফিল্টার করুন। এটি অন্য লোকের চেয়ে কেবল উচ্চস্বরে চিৎকার নয়, বনাম গ্রহণযোগ্যতা অবরুদ্ধ করার নীতির উপর কাজ করে।

— neirbowj
সূত্র

6

অবৈধ বন্দরসমূহকে দুর্বৃত্ত আরএ পাঠানোর বিরুদ্ধে সুরক্ষার উপায় হিসাবে সিসকো আরএ-গার্ড সরবরাহ করে।

তবে, একা এটি সক্ষম করা আপনার সুরক্ষার গ্যারান্টিযুক্ত নয় কারণ অস্তিত্বের বেশ কয়েকটি আক্রমণ সরঞ্জাম (টিএইচসি স্প্রিংস মনে আছে) যা রাউটার বিজ্ঞাপনটিকে টুকরো টুকরো টুকরো করে দেবে, যার ফলে আরএ গার্ডকে পরাস্ত করবে।

এর বিরুদ্ধে সর্বোত্তম সুরক্ষা হ'ল খণ্ডিত আইসিএমপিভি pac প্যাকেটগুলি ফেলে দেওয়া, যেহেতু সাধারণত বলা যায়, আইসিএমপিভি 6 ডাটাগ্রাম (খুব বড় পিং বাদে) টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো করার মতো বৈধতার প্রয়োজনীয়তাগুলি কারও কাছেই পাতলা নয়।

— Olipro
সূত্র