[lacnog] Preguntas plática de Seguridad en IPv6
Arturo Servin
aservin en lacnic.net
Mie Oct 20 17:52:12 BRST 2010
Yo si tenía preguntas y comentarios pero para no retrasar la sesión siguiente las hago por aquí.
Primero estoy de acuerdo con Fernando sobre las falacias de la seguridad de IPv6.
IMHO uno de los mayores problemas de seguridad de IPv6 es el NDP y los ataques, hijacks etc. que pueden hacer "rogue RAs". Sin embargo no es tan diferente a lo que sucede en IPv4 con rogue DHCPs.
Me pregunto si en lugar de implementar SEND y meternos con criptografía, PKI, etc. no será mejor usar una solución similar a la que se usa para proteger a los usuarios de IPv4 de DHCPs piratas?
Por ejemplo, el NDP responde a una dirección de Multicast, la cual debe estar mapeada a una MAC address (si mal no recuerdo primer bit 1), no será posible configurar en tus switches de capa 2 un filtro que solo permitas esa MAC de los puertos donde están tus RPs?
Si bien es una lata de configurar puerto por puerto es seguro que pudiera hacerse mediante algunos scripts. Y claro tiene el inconveniente que ciertos switches un poco tontos y baratos no soportan filtros, pero eso es al final el costo que pagamos por un poco más de seguridad.
Bueno, era solo una idea que quería compartir y saber si era posible.
Saludos,
-asn
Más información sobre la lista de distribución LACNOG