[lacnog] Preguntas plática de Seguridad en IPv6

[Fernando Gont]

Hola, Arturo,

Mis respuestas van entre lineas....

> IMHO uno de los mayores problemas de seguridad de IPv6 es el NDP y
> los ataques, hijacks etc. que pueden hacer "rogue RAs".  Sin embargo
> no es tan diferente a lo que sucede en IPv4 con rogue DHCPs.

Estoy de acuerdo.

Tal vez el la cuestion aca es que el "sistema resultante" en IP6 termina
siendo mas complejo.

En IPv6, usar DHCPv6 implica ND+DHCPv6+MLDv2, mientras que usar DHCP en
IPv4 solo implica DHCPv4.


> Me pregunto si en lugar de implementar SEND y meternos con
> criptografía, PKI, etc. no será mejor usar una solución similar a la
> que se usa para proteger a los usuarios de IPv4 de DHCPs piratas?

Desde mi punto de vista, si. De hecho, tal como lo mencione en la
presentacion, realmente me cuesta mucho creer de que SEND vaya a ser
desplegado mas alla de algunos entornos muy especificos y particulares.


> Por ejemplo, el NDP responde a una dirección de Multicast, la cual
> debe estar mapeada a una MAC address (si mal no recuerdo primer bit
> 1), no será posible configurar en tus switches de capa 2 un filtro
> que solo permitas esa MAC de los puertos donde están tus RPs?

Te referis a filtrar los RS, o los RA?

En lo que respecta a los RA, la direccion MAC de origen es unicast...
asi que eso no se podria... (la direccion multicast se utiliza nada mas
que como direccion destino de los RS)

Por otro lado, al menos hasta la ultima vez que chequie, creo que muchos
equipos todavia no proveian la capacidad de filtrar RAs...


> Bueno, era solo una idea que quería compartir y saber si era
> posible.

Creo haber leido incluso en el libro "IPv6 Security" de Cisco que sus
equipos no soportaban filtrado de mensajes Neighbor Discovery. -- Aunque
sin duda esta informacion es probable ue este desactualizada (?).

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1