[lacnog] [SPAM] Re: Preguntas plática de Seguridad en IPv6

Arturo Servin aservin en lacnic.net
Lun Oct 25 19:08:21 BRST 2010


	Gracias!

	Esta interesante el link. Ojalá otros proveedores de switches soporten feautures similares.

Saludos,
.asn

On 25 Oct 2010, at 11:35, Harold de Dios T. wrote:

> Les comparto información de implementaciones cisco sobre first hop security
> en IPv6.
> 
> Source:
> http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-first_hop_s
> ecurity.html#wp1122933
> 
> Saludos,
> Harold.
> El 10/20/10 10:07 PM, "Fernando Gont" <fernando en gont.com.ar> escribió:
> 
>> Hola, Arturo,
>> 
>>>>> Por ejemplo, el NDP responde a una dirección de Multicast, la
>>>>> cual debe estar mapeada a una MAC address (si mal no recuerdo
>>>>> primer bit 1), no será posible configurar en tus switches de capa
>>>>> 2 un filtro que solo permitas esa MAC de los puertos donde están
>>>>> tus RPs?
>>>> 
>>>> Te referis a filtrar los RS, o los RA?ç
>>> 
>>> RA (Router Advertisement)
>>> 
>>> De lo que encontré: "Router Advertisement (RA) messages, sent to the
>>> multicast group ff02::1"
>>> 
>>> La ff02::1 supongo esta ligada a una MAC address, la cual puede
>>> filtrarse en los switches (L2) para que no acepten de entrada frames
>>> de esa dirección fuente.
>>> 
>>> Lo que no se es si cuando el cliente envía el RS (Router
>>> Solicitation) la respuesta del RA es en un unicast. Pero si es
>>> unicast posiblemente se pueda aplicar el mismo principio y filtrar
>>> por L2.
>> 
>> La respuesta es multicast si la direccion de origen del RS fue la
>> "unspecified address" (::) - que es el caso usual cuando un nodo esta
>> bootstrapeando.
>> 
>> Si la direccion origen del RS es unicast, entonces se usa esa direccion
>> como destino del RA.
>> 
>> -- Es decir, para filtrar los RA no alcanza con comprobar que la
>> direccion destino sea unicast.
>> 
>> El problema es que si uno quiere filtrar por ejemplo intentando
>> identificar el tipo de paquete (es decir, identificar que el paquete se
>> trata de un RA, analizando el "Next Header" del paquete IPv6, y el
>> "Type" del mensaje ICMPv6) la cosa se puede tornar complicada, ya que un
>> atacante podria (intencionalmente) agregar extension headers (por ej
>> lleno de opciones de padding), simplemente para forzar al equipo que
>> este realizando el filtrado  que "parsee" toda la "header chain"...
>> 
>> Saludos cordiales,
> 




Más información sobre la lista de distribución LACNOG