IPv6 First Hop Security
Szummer Mihály
<>
Simonyi Károly Szakkollégium
Az első IPv6-os szabvány már több mint 12 éve létezik, azonban csak az elmúlt 1-2 évben kezdett elterjedni. Ennek hatására az elmúlt fél évben megjelentek, a már létező IPv4-es L2 security megoldásokhoz (DAI, IPSG, DHCP Snooping) hasonló IPv6 FHS (First Hop Security) feature-ök, név szerint az RA (Router Advertisement) Guard, az IPv6 Source es Destination Guard, az IPv6 Snooping es a DHCPv6 Guard.
Az IPv6 Snooping segítségével az NDP es DHCPv6 üzeneteket feldolgozva építhetünk fel egy ip-mac-interface-vlan-t tartalmazó adatbázist, mely alapján az IPv6 Source/Destination Guard-al es az NDP Inspection-el az adatbázisnak nem megfelelő IPv6-os és ICMPv6-os csomagokat szűrhetjük, az RA és DHCPv6 Guard-al pedig különböző feltételek (pl. feladó, hirdetett prefix, stb.) alapján szűrhetjük az RA és DHCPv6 üzeneteket.
A fenti feature-ök segítségével megnehezíthetőek különböző MITM (Man-in-the-middle) támadások, IP-cím hamisítási lehetőségek, hálózat scannelési próbálkozások és végső soron rövidebb-hosszabb hálózati kiesések egy-egy hálózati elem hibás konfigurációjából kifolyólag.
Előadásom célja az IPv4-es L2 security megoldások rövidebb összefoglalása, majd ezek alapján, ezekkel összehasonlítva az új IPv6-os FHS feutre-ök elméleti és rövid gyakorlati bemutatása a Cisco SUP7L-E es 2960S platformokon.