Mimochodem
> Pokud by útočník chce podvrhnout konfigurační údaje, musí nějakým způsobem zasáhnout do komunikace v okamžiku vyslání prvního požadavku klienta.
a nebo taky libovolného dalšího, ne? Když je to zjevně nemanagovací switch, může otrávit ARP, strhnout komunikaci s DHCP serverem na sebe a dělat si co je libo.
Takže jediná změna je asi v tom, že zatímco u IPv4 jsi musel čekat do vypršení DHCP lea*se, u IPv6 můžeš klienty updatnout rovnou (což tam není jen tak pro srandu, používá se to třeba když máš záložní router a ten hlavní vypadne - prostě pošleš všem klientům update a všichni jsou šťastní).
* rootí antispamová kontrola, nešlo by to overridnout třeba přidáním nějakého tagu do textu?
Dneska maji vsechny rozumne switche podporu pro dhcp snooping, anebo alespon umizni nejak filrovat port dhcp. Navic request a response pouzivaji ruzne porty aby se to dalo snadno filtrovat. Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.
Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW. U IPv4 DHCP mate Option82, mate DHCP servery s LDAP backendem, popr. muzete mit jako backend Pythoni script. Muzete nastavit, ze ten kdo nezatuka na DHCP server, ten proste na internetu nebude, a kdyz uz klient s DHCP serverem mluvi tak mate kontrolu nad tim co se mu posle a navic to mate zalogovane.
> Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.
Ano, takto to funguje, akorát potřebuješ switch, který to umí, tj. dostatečně „moderní“ (protože IPv6 je s námi v současné formě jenom 10 let, že jo…).
>Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW.
Tak já si třeba na routeru vlastní SW spustit můžu :), ale obecně nikdo neříká, že RA musí posílat jenom fyzický router, ne? Můžeš ho posílat z nějakého jiného stroje.
Ad. ten zbytek - co přesně tím implementuješ? Nějakou kontrolu „ip adresa per fyzická zásuvka“?