IPv6 filtro bogon

raul-moya · ‎08-21-2014

Necesito de su ayuda con un filtro de bogon ipv6, he revisado documentos de internet y varios tienen diferencias, incluso trate de implementar una recomendación de libro seguridad ipv6 cisco press, pero no me dio resultado. Serían tan amables de compartirlo para ios y ios xr. Gracias por su ayuda.

Ricardo Prado Rueda · ‎08-26-2014

Hola Raul:

Los filtros Bogon tienen dos objetivos principales:

Evitar que recibas tráfico proveniente de redes ilegítimas (no asignadas por la IANA).
Evitar que en tu conexión a Internet mandes tráfico de redes ilegítimas.

La lista de redes asignadas por la IANA se encuentra en este link:

http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xhtml

Cualquier tráfico con origen o destino a las redes no asignadas en el link anterior no puede ser ruteado por Internet y la forma más sencilla de implementarlo es permitir las redes ya asignadas (la cantidad de prefijos asignados es muy pequeña todavía) y depender de la regla implícita de bloquear todo lo que no está permitido.

En este link puedes ver un ejemplo de un filtro para BGP por medio de un prefix-filter para IOS:

http://www.team-cymru.org/ReadingRoom/Templates/IPv6Routers/ios.html

Una lista más específica y que constantemente está actualizada está en este otro link:

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv6.txt

A partir de esta información hay que construir el filtro necesario y mantenerlo actualizado constantemente.

Saludos.