[lacnog] Preguntas plática de Seguridad en IPv6

Fernando Gont fernando en gont.com.ar
Lun Oct 25 17:22:57 BRST 2010


Hola, Harold,

Gracias por la info.

Alguno probo que es lo que sucede si se agregan extension headers? -- Es
decir, si en ese caso la "RA guard" sigue siendo efectiva?

Saludos,
Fernando




On 25/10/2010 01:35 p.m., Harold de Dios T. wrote:
> Les comparto información de implementaciones cisco sobre first hop security
> en IPv6.
> 
> Source:
> http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-first_hop_s
> ecurity.html#wp1122933
> 
> Saludos,
> Harold.
> El 10/20/10 10:07 PM, "Fernando Gont" <fernando en gont.com.ar> escribió:
> 
>> Hola, Arturo,
>>
>>>>> Por ejemplo, el NDP responde a una dirección de Multicast, la
>>>>> cual debe estar mapeada a una MAC address (si mal no recuerdo
>>>>> primer bit 1), no será posible configurar en tus switches de capa
>>>>> 2 un filtro que solo permitas esa MAC de los puertos donde están
>>>>> tus RPs?
>>>>
>>>> Te referis a filtrar los RS, o los RA?ç
>>>
>>> RA (Router Advertisement)
>>>
>>> De lo que encontré: "Router Advertisement (RA) messages, sent to the
>>> multicast group ff02::1"
>>>
>>> La ff02::1 supongo esta ligada a una MAC address, la cual puede
>>> filtrarse en los switches (L2) para que no acepten de entrada frames
>>> de esa dirección fuente.
>>>
>>> Lo que no se es si cuando el cliente envía el RS (Router
>>> Solicitation) la respuesta del RA es en un unicast. Pero si es
>>> unicast posiblemente se pueda aplicar el mismo principio y filtrar
>>> por L2.
>>
>> La respuesta es multicast si la direccion de origen del RS fue la
>> "unspecified address" (::) - que es el caso usual cuando un nodo esta
>> bootstrapeando.
>>
>> Si la direccion origen del RS es unicast, entonces se usa esa direccion
>> como destino del RA.
>>
>> -- Es decir, para filtrar los RA no alcanza con comprobar que la
>> direccion destino sea unicast.
>>
>> El problema es que si uno quiere filtrar por ejemplo intentando
>> identificar el tipo de paquete (es decir, identificar que el paquete se
>> trata de un RA, analizando el "Next Header" del paquete IPv6, y el
>> "Type" del mensaje ICMPv6) la cosa se puede tornar complicada, ya que un
>> atacante podria (intencionalmente) agregar extension headers (por ej
>> lleno de opciones de padding), simplemente para forzar al equipo que
>> este realizando el filtrado  que "parsee" toda la "header chain"...
>>
>> Saludos cordiales,
> 
> 
> 

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución LACNOG