Manualshelf

User Guide

ManualsBrandsCisco ManualsSwitchesCisco SF500-24MP 24-port 10 100 Max PoE+ Stackable Managed Switch
481482483484485486487488489490
Protezione: Protezione primo hop IPv6
Protezione da attacchi
Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 480
24
Protezione contro lo spoofing del rilevamento indirizzo duplicato IPv6
Un host IPv6 deve eseguire il rilevamento indirizzo duplicato per ogni indirizzo IPv6 assegnato inviando uno
messaggio NS speciale: messaggio di rilevamento indirizzo duplicato - richiesta router adiacente
(DAD_NS).
Un host dannoso potrebbe inviare una risposta a un messaggio DAD_NS annunciandosi come host IPv6
dotato dell'indirizzo IPv6 fornito.
Integrità NB fornisce protezione contro tali attacchi nei seguenti modi:
Se l'indirizzo IPv6 fornito è sconosciuto, il messaggio DAD_NS viene inoltrato esclusivamente sulle
interfacce interne.
Se l'indirizzo IPv6 fornito è noto, il messaggio DAD_NS viene inoltrato esclusivamente sull'interfaccia
alla quale è associato l'indirizzo IPv6.
Un messaggio NA viene eliminato se l'indirizzo IPv6 di destinazione è associato a un'altra interfaccia.
Protezione contro lo spoofing del server DHCPv6
Un host IPv6 può utilizzare il protocollo DHCPv6 per:
Configurare informazioni stateless
Configurare indirizzi stateful
Un host dannoso potrebbe inviare messaggi di risposta DHCPv6 annunciandosi come server DHCPv6 e
fornendo informazioni stateless e indirizzi IPv6 contraffatti. Guardia DHCPv6 fornisce protezione contro tali
attacchi configurando il ruolo interfaccia come porta client per tutte le porte a cui i server DHCPv6 non
possono connettersi.
Protezione contro lo spoofing della cache NBD
Un router IPv6 supporta la cache del protocollo NDP che associa l'indirizzo IPv6 all'indirizzo MAC per il
routing dell'ultimo hop.
Un host dannoso potrebbe inviare messaggi IPv6 con un indirizzo IPv6 di destinazione diverso per l'inoltro
dell'ultimo hop, causando l'overflow della cache NBD.
Un meccanismo incorporato nell'implementazione NDP limita il numero di voci consentite nello stato
INCOMPLETO nella cache di rilevamento dei router adiacenti. Ciò protegge la tabella dagli attacchi dei
pirati informatici.