Surveillance de l’autoconfiguration des adresses sans état IPv6 (SLAAC)
Comprendre l’espionnage SLAAC
L’attribution dynamique des adresses est une caractéristique importante d’IPv6 en raison de l’augmentation considérable de l’espace d’adressage par rapport à IPv4. En plus de l’adressage statique, IPv6 offre aux clients deux options pour obtenir des adresses de manière dynamique : DHCPv6 (avec état) et SLAAC (configuration automatique des adresses sans état).
Le SLAAC simplifie la gestion des adresses IPv6 en fournissant une connectivité IP plug-and-play sans configuration manuelle des hôtes. SLAAC permet à un client IPv6 de générer ses propres adresses à l’aide d’une combinaison d’informations disponibles localement et d’informations annoncées par les routeurs via le protocole NDP (Neighbor Discovery Protocol).
Les messages NDP ne sont pas sécurisés, ce qui rend le SLAAC vulnérable aux attaques impliquant l’usurpation (ou la falsification) d’adresses de couche de liaison. Vous devez configurer la surveillance SLAAC pour valider les clients IPv6 à l’aide de SLAAC avant de leur permettre d’accéder au réseau.
Processus de la SLAAC
Le client démarre la configuration automatique en générant une adresse lien-local pour l’interface compatible IPv6. Pour ce faire, combinez le préfixe link-local annoncé (64 premiers bits) avec l’identifiant de l’interface (64 derniers bits). L’adresse est générée selon le format suivant : [fe80 (10 bits) + 0 (54 bits)] + interface ID (64 bits).
Avant d’attribuer l’adresse lien-local à son interface, le client vérifie l’adresse en exécutant la détection d’adresse dupliquée (DAD). DAD envoie un message de sollicitation de voisin à destination de la nouvelle adresse. S’il y a une réponse, l’adresse est un doublon et le processus s’arrête. Si l’adresse est unique, elle est affectée à l’interface.
Pour générer une adresse globale, le client envoie un message de sollicitation de routeur pour inviter tous les routeurs sur le lien à envoyer des messages d’annonce de routeur (RA). Les routeurs activés pour prendre en charge SLAAC envoient un RA qui contient un préfixe de sous-réseau à utiliser par les hôtes voisins. Le client ajoute l’identificateur d’interface au préfixe de sous-réseau pour former une adresse globale, puis exécute à nouveau DAD pour confirmer son caractère unique.
Surveillance SLAAC
SLAAC est sujet aux mêmes vulnérabilités de sécurité que celles trouvées dans NDP. Vous pouvez configurer la surveillance SLAAC pour sécuriser le trafic provenant de clients IPv6 à l’aide de SLAAC pour l’attribution dynamique d’adresses. Pour plus d’informations sur NDP, consultez Inspection de découverte de voisins IPv6.
La surveillance SLAAC est similaire à la surveillance DHCP, en ce sens qu’elle espionne les paquets pour construire une table de liaisons IP-adresse MAC. L’écoute SLAAC extrait les informations d’adresse des paquets DAD échangés au cours du processus SLAAC pour construire la table d’écoute SLAAC. Les liaisons d’adresses de ce tableau sont utilisées pour inspecter et valider les paquets NDP/IP envoyés par les clients IPv6 à l’aide de SLAAC.
Configuration de la surveillance SLAAC
La surveillance SLAAC est activée par VLAN. Par défaut, la surveillance SLAAC est désactivée pour tous les VLAN.
Pour activer SLAAC, utilisez les commandes suivantes :
Configuration d’Auto-DAD
Si DAD est désactivé côté client ou si des paquets DAD sont abandonnés en raison d’une congestion du trafic, l’écoute SLAAC effectue un DAD automatique pour le compte du client. L’adresse générée par le client est à l’état provisoire jusqu’à ce que le processus DAD soit terminé.
Auto-DAD envoie un message de sollicitation de voisin avec l’adresse générée par le client comme cible, et attend une annonce de voisin en réponse. S’il y a une réponse, l’adresse est un doublon et ne peut pas être attribuée au client. S’il n’y a pas de réponse, l’adresse est confirmée.
La durée pendant laquelle auto-DAD attend une réponse est de 1 seconde par défaut, sans nouvelle tentative. Vous pouvez configurer le nombre de nouvelles tentatives et la durée de l’intervalle entre les transmissions.
Lors d’un déplacement MAC, le premier paquet de sollicitation de voisinage entraîne un vidage d’entrée SLAAC à partir de l’ancien port et le second entraîne la création d’une entrée SLAAC pour le nouveau port.
Pour configurer le nombre de nouvelles tentatives pour les paramètres auto-DAD, utilisez les commandes suivantes :
Pour configurer l’intervalle entre les transmissions auto-DAD, utilisez les commandes suivantes :
Pour une interface spécifique :
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name auto-dad retrans-interval seconds
Pour toutes les interfaces :
[edit] user@switch# set forwarding-options access-security slaac-snooping interface all auto-dad retrans-interval seconds
Configuration de l’expiration de l’adresse lien-local
L’adresse lien-local apprise par SLAAC a une période d’expiration par défaut de 1 jour. Lorsque le bail de l’adresse expire, l’appareil d’écoute envoie un message DAD avec l’adresse du client comme cible. Si le client est toujours joignable, le bail est renouvelé.
Pour configurer la durée de la période d’expiration, utilisez la commande suivante :
[edit] user@switch# set forwarding-options access-security slaac-snooping link-local expiry interval seconds
Configuration des conflits DAD autorisés
Vous pouvez configurer le nombre maximal de messages de contention DAD (Sollicitation de voisin ou Annonce de voisinage) pour une interface. Si le nombre maximal de conflits est dépassé au cours de l’intervalle de temps autorisé, l’interface est considérée comme non valide et la table d’écoute SLAAC n’est pas mise à jour avec des liaisons pour ce client.
Le nombre maximal de conflits autorisés est configuré pour chaque interface, afin d’autoriser les interfaces appartenant à plusieurs VLAN.
Pour configurer le nombre maximal de conflits DAD et l’intervalle de temps autorisé, utilisez la commande suivante :
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name max-allowed-contention count integer duration seconds
Configuration d’une interface comme approuvée pour la surveillance SLAAC
Lorsque vous configurez une interface comme approuvée, l’entrée de liaison de l’interface est ajoutée à la table d’écoute SLAAC en utilisant le même processus que pour les interfaces non approuvées.
Lorsqu’une requête DAD est reçue sur un port approuvé avec une entrée IP/MAC qui existe déjà sur un port non approuvé, l’écoute SLAAC envoie un DAD unicast vers le port non approuvé pour voir si l’hôte est actif.
Si l’hôte répond par un message NA sur le port non approuvé, la durée du bail est renouvelée pour l’entrée de liaison existante.
S’il n’y a pas de réponse (NA) sur le port non approuvé, l’entrée de liaison correspondante est supprimée.
Si l’entrée du port non approuvé est supprimée, la liaison pour le port approuvé n’est pas créée immédiatement. Lorsque le port approuvé commence à envoyer du trafic de données, il envoie un message NS. À ce moment-là, la surveillance SLAAC ajoute la nouvelle liaison sur le port approuvé.
Les paquets d’annonces de routeur reçus sur un port approuvé sont inondés vers tous les ports de ce VLAN, quelle que soit l’entrée SLAAC du port de réception.
Le nombre maximal de conflits DAD ne s’applique pas aux interfaces approuvées.
Pour configurer une interface de confiance pour l’écoute SLAAC, utilisez la commande suivante :
[edit] user@switch# set forwarding-options access-security slaac-snooping interface interface-name mark-interface trusted
Configuration des liaisons d’écoute SLAAC persistantes
Les liaisons IP-MAC dans le fichier de base de données d’écoute DHCP ne sont pas persistantes. Si le commutateur est redémarré, les liaisons sont perdues. Vous pouvez configurer des liaisons persistantes en spécifiant un chemin d’accès local ou une URL distante pour l’emplacement de stockage du fichier de base de données d’écoute SLAAC.
Pour configurer des liaisons persistantes pour la surveillance SLAAC, utilisez la commande suivante :
[edit] user@switch# set system processes slaac-snooping persistent-file (local-pathname | remote-url) write-interval seconds