Sicherheit: IPv6-Sicherheit des ersten Hops
Schutz vor Angriffen
Schutz vor Angriffen
Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
NBI-NDP unterstützt einen Timer für die gesamte Lebensdauer. Die Werte des
Timers können auf der Seite „Bindungseinstellungen der Nachbarn" konfiguriert
werden. Der Timer wird immer dann neu gestartet, wenn die eingehende IPv6-
Adresse bestätigt wird. Wenn der Timer abläuft, sendet das Gerät zur Prüfung des
Nachbarn bis zu zwei DAD-NS-Nachrichten innerhalb kurzer Intervalle.
NB-Integritätsrichtlinie
Wie bei anderen Funktionen der IPv6-Sicherheit des ersten Hops wird das
Verhalten der NB-Integrität auf einer Schnittstelle durch eine NB-
Integritätsrichtlinie definiert, die mit einer Schnittstelle verknüpft ist. Diese
Richtlinien werden auf der Seite „Bindungseinstellungen der Nachbarn"
konfiguriert.
In diesem Abschnitt wird der Schutz vor Angriffen beschrieben, der durch die
IPv6-Sicherheit des ersten Hops bereitgestellt wird.
Schutz vor IPv6-Router-Spoofing
Ein IPv6-Host kann die eingegangenen RA-Nachrichten für Folgendes verwenden:
•
IPv6-Routererkennung
•
Statusfreie Adresskonfiguration
Ein böswilliger Host könnte RA-Nachrichten versenden, sich damit selbst als IPv6-
Router ausgeben und
bereitstellen.
RA Guard bietet Schutz vor solchen Angriffen, indem die Schnittstellenrolle für alle
Schnittstellen, mit denen IPv6-Router verbunden werden können, als
Hostschnittstelle konfiguriert wird.
Schutz vor IPv6-Adressauflösungs-Spoofing
Ein böswilliger Host könnte NA-Nachrichten versenden und sich selbst als IPv6-
Host mit der jeweiligen IPv6-Adresse ausgeben.
gefälschte Präfixe für die
statusfreie Adresskonfiguration
23
514