[lacnog] [LAC-TF] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?
Arturo Servin
aservin en lacnic.net
Mar Sep 7 13:25:42 BRT 2010
Algunos enlaces que pueden ser buen inicio:
http://portalipv6.lacnic.net/en
http://www.getipv6.info/index.php/Main_Page
En LACNIC tenemos algunas presentaciones de entrenamiento que hemos hecho, pero no están en un solo lugar. Este enlace es de una búsqueda en el sitio:
http://www.google.com.uy/search?hl=es&lr=&as_qdr=all&q=ipv6+filetype:pdf+site:lacnic.net&aq=f&aqi=&aql=&oq=&gs_rfai=
Saludos,
-asn
On 7 Sep 2010, at 12:31, Raul Sanjur wrote:
> Hola!
>
> He estado siguiéndoles en sus intervenciones sin poder aportar pues estoy como un bebe, gateando en la transición de IPv4 to IPv6.
>
> Citando el siguiente el párrafo:
>
> Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
>
> tiene conocimiento "casi cero" de los estandares y del protocolo en
>
> profundidad, asi como de las consecuencias de no usar las herramientas que
>
> IPv6 proporciona de forma adecuada.
>
> Les solicito me instruyan el sitio donde puedo encontrar material didáctico de los estandares del protocolo IPv6 y cuales son las herramientas que IPv6 proporciona para crear una red segura.
>
> Mientras tanto, seguiré monitoreando sus aportaciones,
>
> Saludos desde ciudad de Panamá
>
>
> Raúl Sanjur
>
> Universidad de Panamá
>
> -----Mensaje original-----
> De: lactf-bounces en lacnic.net [mailto:lactf-bounces en lacnic.net] En nombre de Fernando Gont
> Enviado el: martes, 07 de septiembre de 2010 9:44
> Para: lactf en lac.ipv6tf.org
> CC: Latin America and Caribbean Region Network Operators Group; seguridad en lacnic.net
> Asunto: Re: [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?
>
> Hola, Jordi,
>
> > Windows Vista y 7 utilizan tambien un nuevo tipo de direcciones, que no son
>
> > de privacidad, pero no dependen de la Mac. Eso implica que la busqueda se
>
> > hace mas dificil y no es posible basarse en el OUI.
>
> Hasta donde recuerdo haber chequeado, Vista configura direcciones de
>
> privacidad, pero *también* configura direcciones comunes. Lo cual quiere
>
> decir que si bien no se utilizan para conexiones salientes, *si* se las
>
> puede utilizar para escanear.
>
>
>
> > Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
>
> > tiene conocimiento "casi cero" de los estandares y del protocolo en
>
> > profundidad, asi como de las consecuencias de no usar las herramientas que
>
> > IPv6 proporciona de forma adecuada.
>
> Si, pero existen los dos extremos: el desconocimiento de las
>
> herramientas que IPv6 proporciona por un lado, y la negación de las
>
> implicancias de seguridad por el otro.
>
> En el primer caso posiblemente sea falta de conocimiento. En el segundo
>
> al menos es falta de objetividad.
>
>
>
> > Igualmente, muchas empresas lo estan
>
> > desplegando sin formar adecuadamente a sus ingenieros ...
>
> Coincido en este punto.
>
>
>
> > Las aplicaciones de las que hablas, precisamente, solo desvelarian
>
> > direcciones de privacidad, y estas son cambiantes (se pueden configurar para
>
> > que cambien incluso cada pocos minutos si se requiere, aunque creo que no es
>
> > necesario), asi que un ataque no podria tener lugar, dado que aun en el caso
>
> > de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),
>
> > NO existiria ya esa direccion.
>
> La ventana de exposición sería menor (duraria menos tiempo), pero no por
>
> ello inexistente.
>
> Si tengo un 0-day que me permite ganar acceso de administrador en por
>
> ej. un sistema Vista, con tal de que pueda encontrar dicho sistema y
>
> accederlo durante un minuto, listo. No me hace falta que su direccion
>
> sea estable por diez años para ganar acceso al mismo.
>
>
>
> > Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento
>
> > del resto de la LAN parece trivial dado que un ping multicast a todos los
>
> > nodos los revela, SALVO, que como por defecto en muchas plataformas, estas
>
> > tengan firewall activado por defecto.
>
> Ahi muchisimos otros vectores para escanear. Por ejemplo MLDv2 queries,
>
> etc. Salvo que estén *todos* deshabilitados, el escaneo es posible.
>
>
>
> > Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas
>
> > de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun
>
> > cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),
>
> > no seran suficientes para lograr ataques que fructifiquen ni siquiera en una
>
> > proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.
>
> Personalmente creo que, si uno compara escaneo en IPv6 vs. en IPv4 por
>
> *fuerza* *bruta*, obviamente es mas facil el escaneo en IPv4.
>
> Pero cambiando la metodologia de escaneo, creo que la situación cambia
>
> completamente, y los escaneos en IPv6 se hacen muy viables.
>
>
>
> > Creo que es importante leer todo el thread en NANOG para ver detalles que
>
> > otros, como Owen de HE, han comentado y que justifican claramente lo que
>
> > estoy diciendo.
>
> Ver tambien, las de Joel Jaeggli y las de Roland Dobbins, que justifican
>
> parte de mi punto de vista. -- de cualquier modo, hay que tener en
>
> cuenta que existen muy pocas herramientas de ataque publicamente
>
> disponibles... y que las que existen son muy basicas. Por eso, todavia
>
> queda *mucho* por verse (o, dicho de otro modo, todavía no hemos visto
>
> nada).
>
> Saludos cordiales,
>
> --
>
> Fernando Gont
>
> e-mail: fernando en gont.com.ar || fgont en acm.org
>
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
>
> _______________________________________________
>
> LACTF mailing list
>
> LACTF en lacnic.net
>
> https://mail.lacnic.net/mailman/listinfo/lactf
>
> _______________________________________________
> LACTF mailing list
> LACTF en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20100907/e04dafb7/attachment.html>
Más información sobre la lista de distribución LACNOG