Identifique os indivíduos por trás dos endereços SLAAC

3

Estamos operando uma rede IPv4 (em ethernet e Wifi) em um dormitório estudantil com ~ 200 usuários e queremos implantar IPv6 a longo prazo, com autoconfiguração sem estado em a prefixo único / 64 .

Infelizmente, a universidade que fornece o uplink exige que identifiquemos os usuários por trás de um endereço. Eles estão atualmente executando um firewall bloqueando endereços IPv4 em caso de uso indevido (vírus, etc.), o que é uma solução viável, pois cada usuário tem atualmente apenas dois endereços v4 fixos. Já temos uma lista de todos os endereços MAC que pertencem a um usuário (para configurar o dhcpd) e queremos seletivamente permitir / bloquear os próprios usuários (pagamento de taxa de rede, mau comportamento, etc.).

Nos meus primeiros testes com um Raspberry Pi rodando o radvd eu descobri que a maioria dos dispositivos conectados tem extensões de privacidade habilitadas, tornando impossível para o provedor de uplink bloquear um endereço IPv6 mal-comportado por um tempo maior que o seu tempo de validade. >

Até agora só vejo algumas opções:

  • Rastreie Descobertas Vizinhas no roteador e crie uma entrada de lista de desbloqueio de firewall em tempo real. De alguma forma, fornecer uma API para o provedor de uplink para bloquear o usuário de um determinado IP. (alto esforço)
  • Proibir extensões de privacidade e bloquear todos os IPs sem ..ff: fe ..
  • Adicione um cabeçalho de extensão IPv6 personalizado para o provedor de uplink, incluindo um ID de usuário exclusivo, para que eles possam bloquear todo o usuário apenas correspondendo a um campo de cabeçalho IPv6.

Existe alguma solução simples usando software existente? Devemos mudar nossos planos e usar o DHCPv6 (dito não tão bom quanto o SLAAC)? Eu já pensei em solicitar uma sub-rede maior (/ 48) e dar um separado / 64 para cada usuário, mas isso exigiria um enorme radvd.conf com 200 prefixos (+ provavelmente 200 VLANs) e RAs unicast mudando algumas vezes por hora , até onde eu vejo.

    
por flo 29.04.2015 / 15:15

1 resposta

4

Bem, primeiro, confiar em endereços MAC como informações de identificação não é uma boa ideia - elas podem ser modificadas de forma trivial pelo usuário.

Com relação ao SLAAC, como você descobriu, não é muito adequado para um ambiente sobre o qual você precisa controlar. Como tal, considere mudar para o DHCPv6.

Após mudar para o DHCP, a solução para o problema do seu endereço MAC é habilitar a autenticação 802.1x para seus usuários. Dessa forma, eles fazem login com suas credenciais (em vez de você confiar em endereços MAC) e você pode registrar o nome de usuário que tem o endereço IP, tanto para a v4 quanto para a v6.

Você talvez já tenha pensado nisso, mas outra coisa que você quer cuidar é filtrar RAs no seu trem de pouso. Sem isso, um usuário mal-intencionado poderia gerenciar o tráfego MITM IPv6 na rede.

    
por 29.04.2015 / 15:20