Delegação de endereço seguro IPv6 / 64 sub-rede

1

Eu assumi a criação de uma rede inteira, da qual uma parte é uma conexão entre meus dois (roteadores redundantes) e seu gateway (fora do meu escopo).

Por trás dos meus roteadores estão algumas LANs, que também têm endereços IPv6. Cada um dos dois roteadores tem uma conexão WAN, que é seu uplink e se conecta ao terceiro roteador, que está fora do meu escopo. Esta rede WAN está configurada para ser redundante usando o CARP, então esta rede tem 4 endereços: %código% Eu deleguei um prefixo / 64 rede IPv6 para essa finalidade (digamos 2001: db8: 0: 0 :: / 64).

Eu participei recentemente de vários cursos de segurança IPv6 e também li muito e descobri duas coisas principais para avaliar aqui.

  1. Conexões diretas geralmente devem usar / 127 redes (RFC6164)
  2. Os endereços devem ser tão aleatórios quanto possível, para complicar digitalização da rede. (RFC7721)

Agora quero atribuir endereços às 4 interfaces da rede / 64. Então, existem dois caminhos que vejo aqui. Uma é criar uma sub-rede / 126, que tem apenas 4 endereços utilizáveis e atribuí-los às 4 interfaces (2001: db8: 0: 0: 11: 22: 33: 4; 2001: db8: 0: 0: 11: 22 : 33: 5; 2001: db8: 0: 0: 11: 22: 33: 6; 2001: db8: 0: 0: 11: 22: 33: 7). O outro seria atribuir os endereços aleatórios de 4 interfaces da sub-rede inteira / 64 (2001: db8: 0: 0: e2f: a9: 7: 3d6e; 3 outros endereços aleatórios).

A primeira abordagem ajuda a aliviar os problemas de falsificação e os problemas de segunda verificação.

Qual seria a maneira mais aconselhável de atribuir endereços em tal configuração? Vale ressaltar que os endereços são endereços unicast globais

    
por Girtsd 20.03.2018 / 13:33

0 respostas