Les router advertisements
(RA) sont des paquet ICMP (code 134) qui servent pour la configuration des machines en IPv6. Ce message permet au routeur d'avertir tous les nœuds connectés à lui de sa présence. Il émettra ce paquet de manière périodique, ou en réponse à un paquet Router Solicitation
.
Spécification de base : RFC 2461.
Daemon canonique sous *nix : radvd.
Cela marche très bien dans le monde des bisounours. Mais rien n'interdit à une machine
d'envoyer des RA pirates, et d'ainsi propager des routes pirates à travers tout le réseau. Il semblerait
que le système d'exploitation Windows ® Vista ™ (par défaut) configuré pour partager la connexion Internet
se mette à émettre des RA pirates.
Il y a deux problèmes sous-jacents :
La solution la plus simple et la plus efficace serait de bloquer ces paquets au plus proche de l'utilisateur, c'est à dire
sur les switchs dans les divers bâtiments. C'est possible sur les HP-2620 via RA guard, et tous les switchs récents :
ipv6 ra-guard ports 1-44,46-48
Cependant, il s'avère que les switchs anciens n'ont aucune connaissance
de ce protocole.
Une liste des solutions envisageable est disponible sur http://ipv6samurais.com/ipv6samurais/demystified/rogue-RA.html.
Il y a aussi un draft IETF qui vaut le coup d'oeil http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-06
Au Cr@ns, il ne reste alors plus qu'à :
Il se trouve que des gens ont commencé à coder quelque chose (ramond) qui devrait correspondre à nos besoins :
Par contre il a certains défauts :
Si on détecte un RA pirate, on fait appel à un script Python, qui va :