Auteur Sujet: IPv6 SLAAC + Port isolation  (Lu 212 fois)

0 Membres et 1 Invité sur ce sujet

dmfr

  • Client Orange adsl
  • *
  • Messages: 98
IPv6 SLAAC + Port isolation
« le: 09 septembre 2020 à 21:20:59 »
Bonjour,

J'ai besoin de quelques lumières concernant un cas de déploiement de l'IPv6 dans un environnement LAN sécurisé.

Situation actuelle (non sécurisée) en SLAAC,
- une adresse de type 2a01:cb08:8888:9999::1/64 sur le routeur
- sur ce routeur, RADVD configuré quasi par défaut :
interface eth0 {
    .....
    AdvManagedFlag off;
    prefix ::/64 {
        AdvOnLink on;
        AdvAutonomous on;
    };
};
Et tout fonctionne sans souci.


Sur un site plus dense et plus sensible, on a mis en place des règles de sécurité sur le switch :
- Port protection/layer-2 isolation sur tous les ports (sauf le routeur évidemment) => tout doit remonter au routeur sur lequel un proxy ARP est activé
- DHCP snooping + IP guard (en IPv4) => pas de bail DHCP = pas de traffic
La sécurité IPv4 est donc parfaite.
Concernant l'IPv6, comme on souhaite rester en SLAAC, il est évident qu'on aura pas les même sécurités car l'IPv6 guard nécessite un stateful DHCP (ou je me trompe ?)

En revanche, l'isolation layer-2 empêche désormais les postes clients de "communiquer" entre eux en IPv6.

Ex : 2a01:cb08:8888:9999:x:x:x:x veut pinger 2a01:cb08:8888:9999:y:y:y:y

La piste explorée sur laquelle je bute,
Le principe du proxy ARP n'existant qu'en IPv4, j'ai donc tenté un équivalent IPv6 à base de NDPPD.

Lors du premier ping :
- A (2a01:cb08:8888:9999:x:x:x:x) tente un "Neighbor Solicitation" pour B (2a01:cb08:8888:9999:y:y:y:y)
- le NDPPD renvoie la MAC du routeur en "Neighbor Advertisement"
- le routeur relaie le paquet vers le vrai hôte B auquel il est le seul à avoir accès au niveau 2.
- le routeur renvoie également un ICMPv6 "redirect" pour signifier à A que B a telle MAC adresse (en gros : pas besoin de passer par moi).
Donc : la communication devient impossible car A (et B réciproquement) enregistrent dans leur cache la vraie MAC du correpondant, bloquée par le Port protection du switch.

Et de plus :
- il n'existe pas en ipv6 de net.ipv6.conf.ethX.send_redirects=0 à faire sur le routeur, comme c'est le cas en IPv4, la norme l'interdit
- j'ai tente un ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j DROP sur le routeur mais ça n'a pas d'effet.

Avez-vous des pistes de configuration alternatives dans ma situation ? C-a-d pour un fonctionnement IPv6 total et clean en environnement "Port protection"

(je réalise que la nécessité de communication entre deux hotes IPv6 du même subnet par leur adresse globale est très très faible, mais le cas de figure m'intrigue)

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 620
IPv6 SLAAC + Port isolation
« Réponse #1 le: 17 septembre 2020 à 07:37:15 »
 AdvOnLink off;

dmfr

  • Client Orange adsl
  • *
  • Messages: 98
IPv6 SLAAC + Port isolation
« Réponse #2 le: 17 septembre 2020 à 22:45:42 »
AdvOnLink off;
Merci,
je n'ai pas essayé plus en détail, mais il semble que le routeur même ainsi configuré renvoie toujours un redirect (qui n'est plus exactement le même).
Le seul cas de figure où cela fonctionne c'est si A et B sont configurés avec :
/proc/sys/net/ipv6/conf/eth0/accept_redirects=0
Je ferai d'autres essais prochainement.

 

Mobile View