Vlákno názorů k článku Bezpečné IPv6 : směrovač se hlásí od Jenda - Mimochodem > Pokud by útočník chce podvrhnout konfigurační údaje,...

Mimochodem

> Pokud by útočník chce podvrhnout konfigurační údaje, musí nějakým způsobem zasáhnout do komunikace v okamžiku vyslání prvního požadavku klienta.

a nebo taky libovolného dalšího, ne? Když je to zjevně nemanagovací switch, může otrávit ARP, strhnout komunikaci s DHCP serverem na sebe a dělat si co je libo.

Takže jediná změna je asi v tom, že zatímco u IPv4 jsi musel čekat do vypršení DHCP lea*se, u IPv6 můžeš klienty updatnout rovnou (což tam není jen tak pro srandu, používá se to třeba když máš záložní router a ten hlavní vypadne - prostě pošleš všem klientům update a všichni jsou šťastní).

* rootí antispamová kontrola, nešlo by to overridnout třeba přidáním nějakého tagu do textu?

Ta "jedina" zmena je z mojho pohladu zavaznejsia.

Niesom expert na sietove protokoly ale taketo veci by som u IPv6 neocakaval.
V clanku popisovane utoky su dost jednoducho uskutocnitelne s dost zavaznymi nasledkami.

Tesim sa na dalsie pokracovanie.

Já běžně vídám nastavené intervaly v DHCP 10 minut až hodina. Jde ti fakt jenom o to, že útočník musí u IPv4 tu chvíli počkat?

Dneska maji vsechny rozumne switche podporu pro dhcp snooping, anebo alespon umizni nejak filrovat port dhcp. Navic request a response pouzivaji ruzne porty aby se to dalo snadno filtrovat. Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.

Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW. U IPv4 DHCP mate Option82, mate DHCP servery s LDAP backendem, popr. muzete mit jako backend Pythoni script. Muzete nastavit, ze ten kdo nezatuka na DHCP server, ten proste na internetu nebude, a kdyz uz klient s DHCP serverem mluvi tak mate kontrolu nad tim co se mu posle a navic to mate zalogovane.

> Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.

Ano, takto to funguje, akorát potřebuješ switch, který to umí, tj. dostatečně „moderní“ (protože IPv6 je s námi v současné formě jenom 10 let, že jo…).

>Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW.

Tak já si třeba na routeru vlastní SW spustit můžu :), ale obecně nikdo neříká, že RA musí posílat jenom fyzický router, ne? Můžeš ho posílat z nějakého jiného stroje.

Ad. ten zbytek - co přesně tím implementuješ? Nějakou kontrolu „ip adresa per fyzická zásuvka“?