L’auto-configuration a du bon mais on aimerait la contrôler: comment s’assurer que les RA (Router Advertisements) sont bien envoyés par le bon équipement? Cette question revient régulièrement… Par exemple à la conférence JRES en novembre dernier, où l’on a longuement parlé IPv6, ce point a été soulevé dans plusieurs présentations. Faisons rapidement le point…
Les solutions à mettre en place pour garantir une protection d’IPv6 sur l’accès sont regroupées sous l’appellation IPv6 FHS (First-Hop Security). Un bon whitepaper décrit toutes les fonctionnalités qui se cachent derrière ce terme, entre autres:
- IPv6 RA Guard (vérifie que les RA sont “normaux” et arrivent bien depuis le port du switch sur lesquels des routeurs sont connectés)
- ND inspection (associe chaque adresse IPv6 à une entrée dans la table MAC, pour éviter par exemple du spoofing fait par un autre équipement sur le même lien-local)
- IPv6 Device Tracking (supprime les équipements qui ne sont plus actifs de la table des hosts IPv6 maintenue par le switch)
- PACL IPv6 (Port ACL)
- SEND (sécurisation plus complexe de NDP à base de certificats)
ipv6 access-list ACCESS_PORT remark Block all traffic from DHCP server to client deny udp any eq 547 any eq 546 remark Block Router Advertisements deny icmp any any router-advertisement permit any any ! interface gigabitethernet 1/0/1 switchport ipv6 traffic-filter ACCESS_PORT in
Je reviendrai sur IPv6 FHS, avec je l’espère un petit lab à la clé! 2 cartes sup2T arrivent dans mon lab pour Noël et je compte bien les faire chauffer un peu 🙂 C’était mon dernier post sur ce blogue avant la trêve des confiseurs… Rendez-vous début janvier et d’ici je vous souhaite à tous d’excellentes fêtes de fin d’année!
Authors
1 commentaires