NESTA PÁGINA
Snooping de configuração automática de endereço sem estado (SLAAC) IPv6
Entendendo o SLAAC Snooping
A atribuição dinâmica de endereços é um recurso importante do IPv6 devido ao grande aumento no espaço de endereços no IPv4. Além do endereçamento estático, o IPv6 oferece duas opções para que os clientes obtenham endereços dinamicamente: DHCPv6 (stateful) e configuração automática de endereço stateless (SLAAC).
O SLAAC simplifica o gerenciamento de endereços IPv6, oferecendo conectividade IP plug-and-play sem configuração manual de hosts. O SLAAC permite que um cliente IPv6 gere seus próprios endereços usando uma combinação de informações e informações disponíveis localmente anunciadas pelos roteadores através do Neighbor Discovery Protocol (NDP).
As mensagens NDP não são seguras, o que torna o SLAAC suscetível a ataques que envolvem a spoofing (ou forjação) de endereços da camada de link. Você deve configurar a espionagem SLAAC para validar clientes IPv6 usando SLAAC antes de permitir que eles acessem a rede.
Processo SLAAC
O cliente começa a configuração automática gerando um endereço local de link para a interface habilitada para IPv6. Isso é feito combinando o prefixo local de link anunciado (primeiro 64 bits) com o identificador de interface (últimos 64 bits). O endereço é gerado de acordo com o seguinte formato: [fe80 (10 bits) + 0 (54 bits)] + interface ID (64 bits).
Antes de atribuir o endereço local do link à sua interface, o cliente verifica o endereço executando a Detecção de endereços duplicados (DAD). PAPAI envia uma mensagem de solicitação ao vizinho destinada ao novo endereço. Se houver uma resposta, o endereço será duplicado e o processo será interrompido. Se o endereço for exclusivo, ele é atribuído à interface.
Para gerar um endereço global, o cliente envia uma mensagem solicitação de roteador para solicitar a todos os roteadores no link para enviar mensagens de anúncio de roteador (RA). Os roteadores habilitados para oferecer suporte ao SLAAC enviam uma RA que contém um prefixo de sub-rede para uso por hosts vizinhos. O cliente coloca o identificador de interface no prefixo de sub-rede para formar um endereço global, e novamente executa o DAD para confirmar sua exclusividade.
SLAAC Snooping
O SLAAC está sujeito às mesmas vulnerabilidades de segurança encontradas no NDP. Você pode configurar a espionagem SLAAC para proteger o tráfego de clientes IPv6 usando SLAAC para atribuição dinâmica de endereços. Para obter mais informações sobre o NDP, consulte IPv6 Neighbor Discovery Inspection.
A espionagem SLAAC é semelhante à espionagem DHCP, na medida em que bisbilhota pacotes para construir uma tabela de vinculações de endereços IP-MAC. SLAAC snooping extrai informações de endereço de pacotes DAD trocados durante o processo SLAAC para construir a mesa de espionagem SLAAC. As vinculações de endereços nesta tabela são usadas para inspecionar e validar pacotes NDP/IP enviados por clientes IPv6 usando SLAAC.
Configuração do SLAAC Snooping
A espionagem SLAAC é habilitada por VLAN. Por padrão, a espionagem SLAAC é desativada para todas as VLANs.
Para habilitar o SLAAC, use os seguintes comandos:
Configurando o Auto-DAD
Se o PAI for desativado do lado cliente, ou os pacotes DAD forem descartados devido ao congestionamento de tráfego, a espionagem SLAAC executará auto-DAD em nome do cliente. O endereço gerado pelo cliente está em estado provisório até que o processo dad seja concluído.
O Auto-DAD envia uma mensagem de solicitação ao vizinho com o endereço gerado pelo cliente como um alvo, e aguarda um anúncio do vizinho em resposta. Se houver uma resposta, o endereço será duplicado e não poderá ser atribuído ao cliente. Se não houver resposta, o endereço será confirmado.
O tempo que o auto-DAD espera por uma resposta é de 1 segundo por padrão, sem retries. Você pode configurar o número de retries e o comprimento do intervalo entre as transmissões.
Durante um movimento MAC, o primeiro pacote de solicitação de vizinhos resultará em uma descarga de entrada SLAAC da porta antiga e o segundo resultará na criação de uma entrada SLAAC para a nova porta.
Para configurar o número de retries para parâmetros auto-DAD, use os seguintes comandos:
Para configurar o intervalo entre transmissões auto-DAD, use os seguintes comandos:
Para uma interface específica:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name auto-dad retrans-interval seconds
Para todas as interfaces:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface all auto-dad retrans-interval seconds
Configuração do término do endereço local do link
O endereço local do link aprendido pelo SLAAC tem um período de expiração padrão de 1 dia. Quando o leasing para o endereço expira, o dispositivo de espionagem envia uma mensagem DAD com o endereço do cliente como alvo. Se o cliente ainda estiver acessível, o contrato de locação será renovado.
Para configurar a duração do período de expiração, use o seguinte comando:
[edit] user@switch# set forwarding-options access-security slaac-snooping link-local expiry interval seconds
Configuração das disputas de DAD permitidas
Você pode configurar o número máximo de mensagens de solicitação de vizinhos ou anúncios de vizinhos para uma interface. Se o número máximo de disputas for excedido durante o intervalo de tempo permitido, a interface é considerada inválida e a tabela de espionagem SLAAC não é atualizada com nenhuma vinculação para esse cliente.
As disputas máximas permitidas são configuradas por interface para permitir interfaces que pertencem a mais de uma VLAN.
Para configurar o número máximo de disputas de DAD e o intervalo de tempo permitido, use o seguinte comando:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name max-allowed-contention count integer duration seconds
Configurando uma interface como confiável para o SLAAC Snooping
Quando você configura uma interface como confiável, a entrada vinculativa para a interface é adicionada à tabela de espionagem SLAAC usando o mesmo processo que para interfaces não confiáveis.
Quando uma solicitação dad é recebida em uma porta confiável com uma entrada IP/MAC que já existe em uma porta não confiável, a espionagem SLAAC envia um PAI unicast em direção à porta não confiável para ver se o host está ao vivo.
Se o host responder com uma mensagem de NA na porta não confiável, o tempo de locação será renovado para a entrada vinculante existente.
Se não houver resposta (NA) na porta não confiável, a entrada vinculante correspondente será excluída.
Se a entrada da porta não confiável for excluída, a vinculação para a porta confiável não será criada imediatamente. Quando a porta confiável começar a enviar tráfego de dados, ela enviará uma mensagem de NS. Na época, a espionagem do SLAAC adiciona a nova ligação à porta confiável.
Os pacotes de anúncio de roteador recebidos em uma porta confiável são inundados para todas as portas naquela VLAN, independentemente da entrada SLAAC para a porta receptora.
O número máximo de disputas de DAD não é aplicável a interfaces confiáveis.
Para configurar uma interface como confiável para espionagem SLAAC, use o seguinte comando:
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name mark-interface trusted
Configuração de ligações persistentes de espionagem SLAAC
As ligações IP-MAC no arquivo de banco de dados de espionagem DHCP não são persistentes. Se o switch for reiniciado, as ligações serão perdidas. Você pode configurar ligações persistentes especificando um nome de caminho local ou uma URL remota para a localização de armazenamento do arquivo de banco de dados de espionagem SLAAC.
Para configurar ligações persistentes para espionagem SLAAC, use o seguinte comando:
[edit] user@switch# set system processes slaac-snooping persistent-file (local-pathname | remote-url) write-interval seconds