Publicité
25
Protection contre les attaques
Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5
La fonction Protection de la source IPv6 valide les adresses sources de tous les messages IPv6
reçus au moyen de la table Liaison de voisin, à l'exception des messages ci-dessous qui sont
transmis sans validation :
•
Messages RS, si l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée.
•
Messages NS, si l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée.
•
Messages NA, si l'adresse IPv6 source équivaut à l'adresse cible.
La fonction Protection de la source IPv6 abandonne tous les autres messages IPv6 dont
l'adresse IPv6 source équivaut à l'adresse IPv6 non spécifiée.
La fonction Protection de la source IPv6 s'exécute uniquement sur les interfaces non
sécurisées appartenant au périmètre.
La fonction Protection de la source IPv6 abandonne un message IPv6 d'entrée dans les cas
suivants :
•
La table Liaison de voisin ne contient pas l'adresse IPv6.
•
La table Liaison de voisin contient l'adresse IPv6, mais elle est liée à une autre
interface.
La fonction Protection de la source IPv6 initie le processus de récupération de voisin en
envoyant des messages DAD_NS pour les adresses IPv6 sources inconnues.
Cette section décrit la protection contre les attaques qu'offre la Sécurité du premier saut IPv6.
Protection contre l'usurpation de routeur IPv6
Un hôte IPv6 peut utiliser les messages RA reçus pour :
•
Détection de routeur IPv6
•
Configuration d'adresse sans état
Un hôte malveillant peut envoyer des messages RA qui l'annoncent lui-même comme routeur
préfixes contrefaits pour la
IPv6 et fournissant des
La protection RA offre une protection contre ces attaques en configurant le rôle d'interface
comme interface hôte pour toutes les interfaces où les routeurs IPv6 ne peuvent pas être
connectés.
Sécurité : Sécurité du premier saut IPv6
Protection contre les attaques
configuration d'adresse statique.
633
Publicité
