[lacnog] [LAC-TF] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?

[Fernando Gont]

Hola, Jordi,

> Windows Vista y 7 utilizan tambien un nuevo tipo de direcciones, que no son
> de privacidad, pero no dependen de la Mac. Eso implica que la busqueda se
> hace mas dificil y no es posible basarse en el OUI.

Hasta donde recuerdo haber chequeado, Vista configura direcciones de
privacidad, pero *también* configura direcciones comunes. Lo cual quiere
decir que si bien no se utilizan para conexiones salientes, *si* se las
puede utilizar para escanear.



> Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
> tiene conocimiento "casi cero" de los estandares y del protocolo en
> profundidad, asi como de las consecuencias de no usar las herramientas que
> IPv6 proporciona de forma adecuada. 

Si, pero existen los dos extremos: el desconocimiento de las
herramientas que IPv6 proporciona por un lado, y la negación de las
implicancias de seguridad por el otro.

En el primer caso posiblemente sea falta de conocimiento. En el segundo
al menos es falta de objetividad.



> Igualmente, muchas empresas lo estan
> desplegando sin formar adecuadamente a sus ingenieros ...

Coincido en este punto.



> Las aplicaciones de las que hablas, precisamente, solo desvelarian
> direcciones de privacidad, y estas son cambiantes (se pueden configurar para
> que cambien incluso cada pocos minutos si se requiere, aunque creo que no es
> necesario), asi que un ataque no podria tener lugar, dado que aun en el caso
> de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),
> NO existiria ya esa direccion.

La ventana de exposición sería menor (duraria menos tiempo), pero no por
ello inexistente.

Si tengo un 0-day que me permite ganar acceso de administrador en por
ej. un sistema Vista, con tal de que pueda encontrar dicho sistema y
accederlo durante un minuto, listo. No me hace falta que su direccion
sea estable por diez años para ganar acceso al mismo.



> Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento
> del resto de la LAN parece trivial dado que un ping multicast a todos los
> nodos los revela, SALVO, que como por defecto en muchas plataformas, estas
> tengan firewall activado por defecto. 

Ahi muchisimos otros vectores para escanear. Por ejemplo MLDv2 queries,
etc. Salvo que estén *todos* deshabilitados, el escaneo es posible.



> Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas
> de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun
> cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),
> no seran suficientes para lograr ataques que fructifiquen ni siquiera en una
> proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.

Personalmente creo que, si uno compara escaneo en IPv6 vs. en IPv4 por
*fuerza* *bruta*, obviamente es mas facil el escaneo en IPv4.

Pero cambiando la metodologia de escaneo, creo que la situación cambia
completamente, y los escaneos en IPv6 se hacen muy viables.



> Creo que es importante leer todo el thread en NANOG para ver detalles que
> otros, como Owen de HE, han comentado y que justifican claramente lo que
> estoy diciendo.

Ver tambien, las de Joel Jaeggli y las de Roland Dobbins, que justifican
parte de mi punto de vista. -- de cualquier modo, hay que tener en
cuenta que existen muy pocas herramientas de ataque publicamente
disponibles... y que las que existen son muy basicas. Por eso, todavia
queda *mucho* por verse (o, dicho de otro modo, todavía no hemos visto
nada).

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1