[lacnog] Preguntas plática de Seguridad en IPv6

Fernando Gont fernando en gont.com.ar
Jue Oct 21 01:07:41 BRST 2010


Hola, Arturo,

>>> Por ejemplo, el NDP responde a una dirección de Multicast, la
>>> cual debe estar mapeada a una MAC address (si mal no recuerdo
>>> primer bit 1), no será posible configurar en tus switches de capa
>>> 2 un filtro que solo permitas esa MAC de los puertos donde están
>>> tus RPs?
>> 
>> Te referis a filtrar los RS, o los RA?ç
> 
> RA (Router Advertisement)
> 
> De lo que encontré: "Router Advertisement (RA) messages, sent to the
> multicast group ff02::1"
> 
> La ff02::1 supongo esta ligada a una MAC address, la cual puede
> filtrarse en los switches (L2) para que no acepten de entrada frames
> de esa dirección fuente.
> 
> Lo que no se es si cuando el cliente envía el RS (Router
> Solicitation) la respuesta del RA es en un unicast. Pero si es
> unicast posiblemente se pueda aplicar el mismo principio y filtrar
> por L2.

La respuesta es multicast si la direccion de origen del RS fue la
"unspecified address" (::) - que es el caso usual cuando un nodo esta
bootstrapeando.

Si la direccion origen del RS es unicast, entonces se usa esa direccion
como destino del RA.

-- Es decir, para filtrar los RA no alcanza con comprobar que la
direccion destino sea unicast.

El problema es que si uno quiere filtrar por ejemplo intentando
identificar el tipo de paquete (es decir, identificar que el paquete se
trata de un RA, analizando el "Next Header" del paquete IPv6, y el
"Type" del mensaje ICMPv6) la cosa se puede tornar complicada, ya que un
atacante podria (intencionalmente) agregar extension headers (por ej
lleno de opciones de padding), simplemente para forzar al equipo que
este realizando el filtrado  que "parsee" toda la "header chain"...

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución LACNOG