16.06.2012

 

Включение IPv6-адресов DNS-серверов в Router Advertisements.

Сейчас клиентский компьютер, «понимающий» SLAAC, получив анонсы от роутера может сгенерировать для себя IPv6-адрес и получить адрес  шлюза. А вот DNS придется прописывать вручную или от DHCP-сервера.

Первый шаг к полной автоматизации клиентских настроек при помощи только RA был сделан в RFC5006 (сентябрь 2007), документ назывался  «IPv6 Router Advertisement Option for DNS Configuration». В нем были описаны две новых опции RA: опция 25, которая содержит IPv6-адреса рекурсивных DHCP-серверов.
Алгоритм работы клиента таков: получив адреса DNS-серверов, хост запоминает их. Если в анонсе содержится больше адресов, чем может принять хост, то остаток игнорируется. В анонсе содержится «время жизни» для данного параметра, причем время жизни обновляется при получении очередного анонса от роутера. Важное примечание: адрес DNS-сервера считается действительным, если не истекли и время жизни RA, и время жизни IPv6-адреса DNS-сервера.
Если в анонсе установлено нулевое время жизни для IPv6-адреса DNS-сервера, то сервер удаляется из списка серверов, использемых клиентом.
Проблема безопасности: злоумышленник может «подсунуть» адрес фальшивого DNS-сервера до того, как его проанонсит роутер.
Затем вышел документ RFC6106 (ноябрь 2010), в нем в RA была добавлена опция 31 — список доменов поиска, то есть те домены, в которых будет искаться хост, если в его имени нет ни одной точки.
Появились две потенциальные проблемы безопасности: если разные роутеры анонсируют разные DNS-серверы, то может получиться так, что клиент сгенерирует свой адрес на основании анонса от одного сервера, а DNS-серверы возьмет из анонса другого. Вторая проблема — если у клиента несколько сетевых интерфейсов, то он может получить в анонсах несколько IPv6-адресов DMS-серверов, и неясно, какие он станет использовать.
И вот последние новости: считается, что время жизни этих опций очень мало…


  *** Via IPv4 ***