Hlavní navigace
Root.cz  »  Bezpečnost  »  Bezpečné IPv6: zkrocení zlých směrovačů  »  Názory  »  Názor

Názor k článku Bezpečné IPv6: zkrocení zlých směrovačů od mz - Odkazy viz výše a například kniha od Pavla...

  • Článek je starý, nové názory již nelze přidávat.

  • 20. 2. 2015 22:22

    mz (neregistrovaný)

    Odkazy viz výše a například kniha od Pavla Satrapy říkají to samé: nastavit bity M, O, a bit A. Protože přidělování IP adres fungovalo i pokud router posílal jen info o bráně a prefix ne, tak jsem už nad tím dále nehloubal. Po změně s posíláním prefixu s bitem A se počítač (Win 7) chová stejně - použije IP adresu z DHCP, SLAAC nepoužije.

    Nastavení ve Windows je ve výchozím stavu - automatická konfigurace IP adresy i DNS. S tímto nastavením se podaří vyhnout se náhodným IP adresám podle SLAAC, aniž by bylo nutné něco nastavovat ve Windows. A pokud někdo přijde s notebookem mimo firemní síť, tak se připojí pomocí SLAAC. Pro větší společnosti je to asi ideální způsob - IP adresa se nemění, jednodušší hledání v logách, pokud běží DHCP na doménovém serveru, může jméno počítače přiřadit do DNS (ještě prakticky neprověřeno - DHCP běží zatím na serveru mimo doménu). A pokud zvládne (mě by) i zpětné DNS, bude v logách firewalu vidět jméno počítače ve tvaru pc.windomena.cz.

    Konfigurace na routeru / L3 switchi Cisco:
    interface Vlan100
    ipv6 address 2A00:XXXX:/64
    ipv6 enable
    ipv6 nd prefix 2A00:XXXX::/64 30000 30000 no-autoconfig ! set A bit in the prefix in RA to 1
    ipv6 nd managed-config-flag ! set M bit in RA to 1
    ipv6 nd other-config-flag ! set O bit in RA to 1
    ipv6 dhcp relay destination 2A00:YYYY:::X ! definition of DHCP server. DHCP relay uses UDP 546, 547.
    end

    Zajímavé je, že DHCP relay agent posílá informaci o MAC adrese klienta, ale v logu Windows DHCPv6 tam MAC adresa není, je tam jen DUID a IAD a jméno počítače. Jak si řada lidí stěžuje, že by chtěli na DHCP serveru přidělovat podle MAC adresy, tak by to možná šlo, ale DHCP server tuto MAC adresu nejspíše nijak nevyužívá.

    Z odchytaných dat:
    DHCPv6
    Message type: Relay-forw (12)
    Hopcount: 0
    Link address: 2a00:XXXX::
    Peer address: fe80::74f1:ef­b7:d17b:6693 (fe80::74f1:ef­b7:d17b:6693)
    Relay Message
    Option: Relay Message (9)
    ....
    Client Identifier
    Option: Client Identifier (1)
    Length: 14
    Value: 000100011b91f­fe6705ab6b5345d
    DUID: 000100011b91f­fe6705ab6b5345d
    DUID Type: link-layer address plus time (1)
    Hardware type: Ethernet (1)
    DUID Time: Aug 28, 2014 16:57:42.000000000 Central Europe Daylight Time
    Link-layer address: 70:5a:b6:b5:34:5d

Zprávičky

Další zprávičky
Napište zprávičku

Komerční sdělení

Dále u nás najdete

Po dark webu kolují data až 60 % firem

OSVČ se zvýší odvody i paušální daň. Co se komu vyplatí?

Po CZC skončí i samostatný e-shop Mall.cz

Žertík jen pro Čechy, říkají markeťáci k názvu aerolinek

Chceme být jako Uber mezi taxíky, míní zakladatelé Jarabotu

Ze Start menu ve Windows 10 se stává reklamní prostor

Nespoléhejte se na to, že škola nahlásí studenty na pojišťovnu

O dražby zabavených iPhonů je enormní zájem

Electro World se od 1. září mění na Datart

Microsoft tvrdí, že se konečně zbavuje Ovládacích panelů…

Co všechno nám o firmě prozradí výkaz cash flow?

Beethoven ohluchl a měl nemocná játra. Co mu je zničilo?

Recall 2.0? Microsoft přichází s dalším pokusem o sledovací AI

Alkohol 24 hodin po tréninku. Jinak tělo nebude dobře regenerovat

Globus otevírá nové prodejny. Některé přímo v Bauhausu

Za nesoustředěnost může i to, že dítě málo pije

Cévkování bez bolesti a rizika zánětu díky novince

Podívejte se na první ukázku z filmu Minecraft, který jde do kin

Nadšení z genAI střídá deziluze, hledají se peníze

Zánět žaludku nepřecházejte, hrozí vznik vředů