[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Carlos M. martinez carlosm3011 en gmail.com
Vie Ago 3 13:10:16 BRT 2012


Y filtrar RA en los switches (RAGuard & friends) :-) Esta es mas 
dificil, lo que se puede usar tambien es RAMOND para por lo menos 
_enterarse_ que hay un rogue RA.

Los ataques de L2 son mas complicados de mitigar con el tipo de APs y 
switches baratos que tendemos a usar, es parecido a lo que pasa si 
alguien viene a la red de la conferencia y pone un rogue DHCP.

En el evento de LACNIC en Panama durante las charlas de seguridad un 
investigador de Brasil (no me acuerdo del nombre pero es posible que 
este leyendo esta lista!) demostro como capturar trafico poniendo un 
rogue DHCP. Estuvo muy divertido, ya que mostraba las mac address que se 
iban registrando en su DHCP en la pantalla gigante de la conferencia :-)

Un pobre sustituto para el RA Guard que he visto usado es el filtrado de 
todo el multicast de L2, que es una funcionalidad que se encuentra en 
mas APs sobre todo. Personalmente, lo recomendaria solo como medida de 
emergencia frente a un ataque real.

~Carlos


On 8/3/12 9:01 AM, Arturo Servin wrote:
>
> 	Filtrar protocol 41 en el borde.
>
> Slds
> as
>
> On 3 Aug 2012, at 05:58, Eduardo Trápani wrote:
>
>> Hola,
>>
>> A raíz de una experiencia comentada en otra lista me quedé pensando en
>> si era posible protegerse en un segmento de red IPv4-only de alguien que
>> sin autorización levante un túnel IPv6 y empiece a anunciar el prefijo
>> por RA. (el medio es compartido).
>>
>> Al poco tiempo parte del tráfico de la red va a ser IPv6 (los hosts
>> modernos lo van a preferir en sus conexiones a, digamos, Wikipedia) y
>> por lo tanto esas comunicaciones va a salir por el túnel no autorizado,
>> con todo lo que eso implica.
>>
>> ¿Hay manera de protegerse de eso?
>>
>> Eduardo.
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>



Más información sobre la lista de distribución LACNOG