[lacnog] Preguntas plática de Seguridad en IPv6

Roque Gagliano rgaglian en gmail.com
Mie Oct 20 19:37:11 BRST 2010


Hola,

creo que estos documento les va a ser de interés:
http://tools.ietf.org/html/draft-ietf-v6ops-rogue-ra-01
http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-08

y la siguiente herramienta:
http://ndpmon.sourceforge.net/

slds
Roque




2010/10/20 Arturo Servin <aservin en lacnic.net>:
>
> On 20 Oct 2010, at 18:30, Fernando Gont wrote:
>
>> Hola, Arturo,
>>
>> Mis respuestas van entre lineas....
>>
>>> IMHO uno de los mayores problemas de seguridad de IPv6 es el NDP y
>>> los ataques, hijacks etc. que pueden hacer "rogue RAs".  Sin embargo
>>> no es tan diferente a lo que sucede en IPv4 con rogue DHCPs.
>>
>> Estoy de acuerdo.
>>
>> Tal vez el la cuestion aca es que el "sistema resultante" en IP6 termina
>> siendo mas complejo.
>>
>> En IPv6, usar DHCPv6 implica ND+DHCPv6+MLDv2, mientras que usar DHCP en
>> IPv4 solo implica DHCPv4.
>>
>>
>>> Me pregunto si en lugar de implementar SEND y meternos con
>>> criptografía, PKI, etc. no será mejor usar una solución similar a la
>>> que se usa para proteger a los usuarios de IPv4 de DHCPs piratas?
>>
>> Desde mi punto de vista, si. De hecho, tal como lo mencione en la
>> presentacion, realmente me cuesta mucho creer de que SEND vaya a ser
>> desplegado mas alla de algunos entornos muy especificos y particulares.
>>
>>
>>> Por ejemplo, el NDP responde a una dirección de Multicast, la cual
>>> debe estar mapeada a una MAC address (si mal no recuerdo primer bit
>>> 1), no será posible configurar en tus switches de capa 2 un filtro
>>> que solo permitas esa MAC de los puertos donde están tus RPs?
>>
>> Te referis a filtrar los RS, o los RA?ç
>
> RA (Router Advertisement)
>
> De lo que encontré:
> "Router Advertisement (RA) messages, sent to the multicast group ff02::1"
>
> La ff02::1 supongo esta ligada a una MAC address, la cual puede filtrarse en los switches (L2) para que no acepten de entrada frames de esa dirección fuente.
>
> Lo que no se es si cuando el cliente envía el RS (Router Solicitation) la respuesta del RA es en un unicast. Pero si es unicast posiblemente se pueda aplicar el mismo principio y filtrar por L2.
>
> Slds,
> .-as
>
>>
>> En lo que respecta a los RA, la direccion MAC de origen es unicast...
>> asi que eso no se podria... (la direccion multicast se utiliza nada mas
>> que como direccion destino de los RS)
>>
>> Por otro lado, al menos hasta la ultima vez que chequie, creo que muchos
>> equipos todavia no proveian la capacidad de filtrar RAs...
>>
>>
>>> Bueno, era solo una idea que quería compartir y saber si era
>>> posible.
>>
>> Creo haber leido incluso en el libro "IPv6 Security" de Cisco que sus
>> equipos no soportaban filtrado de mensajes Neighbor Discovery. -- Aunque
>> sin duda esta informacion es probable ue este desactualizada (?).
>>
>> Saludos cordiales,
>> --
>> Fernando Gont
>> e-mail: fernando en gont.com.ar || fgont en acm.org
>> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>>
>>
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>



-- 


At least I did something
Don Draper - Mad Men



Más información sobre la lista de distribución LACNOG