Назад | Перейти на главную страницу

Выявление лиц, стоящих за адресами SLAAC

Мы эксплуатируем сеть IPv4 (по Ethernet и Wi-Fi) в студенческом общежитии с ~ 200 пользователями и хотим развернуть IPv6 в долгосрочной перспективе, с автоконфигурация без сохранения состояния на одиночный префикс / 64.

К сожалению, университет, предоставляющий восходящий канал, требует, чтобы мы могли идентифицировать пользователей за адресом. В настоящее время они используют брандмауэр, блокирующий IPv4-адреса в случае неправильного использования (вирусы и т. Д.), Что является жизнеспособным решением, поскольку у каждого пользователя в настоящее время есть только 2 фиксированных адреса v4. У нас уже есть список всех MAC-адресов, которые принадлежат пользователю (для настройки dhcpd) и мы хотим выборочно разрешать / блокировать самих пользователей (оплата сетевой платы, ненадлежащее поведение и т. Д.).

В моих первых тестах с Raspberry Pi, работающим под управлением radvd, я обнаружил, что на большинстве подключенных устройств включены расширения конфиденциальности, что делает невозможным для провайдера восходящей связи блокировать неправильно функционирующий IPv6-адрес дольше, чем срок его действия.

Пока я вижу только несколько вариантов:

Отслеживайте обнаружение соседей на маршрутизаторе и создавайте запись в белом списке брандмауэра в режиме реального времени. Каким-то образом предоставить API провайдеру восходящего канала, чтобы заблокировать пользователя данного IP. (большие усилия)
Запретить расширения конфиденциальности и заблокировать все IP-адреса без ..ff: fe ..
Добавьте настраиваемый заголовок расширения IPv6 для провайдера восходящего канала, включая уникальный идентификатор пользователя, чтобы они могли заблокировать всего пользователя, просто сопоставив поле заголовка IPv6.

Есть ли достаточно простое решение с использованием существующего программного обеспечения? Следует ли нам изменить наши планы и вместо этого использовать DHCPv6 (который, как говорят, работает не так хорошо, как SLAAC)? Я уже думал о запросе большей подсети (/ 48) и предоставлении отдельного / 64 каждому пользователю, но для этого потребуется огромный файл radvd.conf с 200 префиксами (+ возможно, 200 VLAN) и одноадресные RA, меняющиеся несколько раз в час. , насколько я понимаю.

Ну, во-первых, полагаться на MAC-адреса как на идентифицирующую информацию - не лучшая идея - они могут быть легко изменены пользователем.

Что касается SLAAC, как вы выяснили, он очень не подходит для среды, которую вам нужно контролировать. Таким образом, рассмотрите возможность перехода на DHCPv6.

После того, как вы переключились на DHCP, решение проблемы с MAC-адресом - включить аутентификацию 802.1x для ваших пользователей. Таким образом, они входят в систему со своими учетными данными (вместо того, чтобы полагаться на MAC-адреса), и затем вы можете записать, какое имя пользователя получило какой IP-адрес, как для v4, так и для v6.

Возможно, вы уже думали об этом, но еще одна вещь, о которой вы хотите позаботиться, - это фильтровать RA на вашем переключателе. Без этого злоумышленник сможет управлять трафиком MITM IPv6 в сети.