[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

[Eduardo Trápani]

>> A raíz de una experiencia comentada en otra lista me quedé pensando en
>> si era posible protegerse en un segmento de red IPv4-only de alguien que
>> sin autorización levante un túnel IPv6 y empiece a anunciar el prefijo
>> por RA. (el medio es compartido).

El 2012-08-03 13:01, Arturo Servin escribió:
> 
> 	Filtrar protocol 41 en el borde.

Entiendo la idea, pero como bloqueo para ese ataque no es muy efectiva.
 Alcanza con poner un cliente teredo en el equipo que ataca, anunciar un
prefijo valido cualquiera y hacer masq/NAT66 para que todos salgan por
la IPv6 de teredo.  Seguimos en la mima situacion.

El intento de bloquear el tunel en el borde no sirve porque el ataque se
esta dando en otro nivel (si es necesario me hago un tunel personal
ipv6/tap con openvpn sobre https desde el equipo que ataca, es algo muy
facil).  No es el tunel en si lo que genera el ataque sino la activacion
engañosa de IPv6.

El 2012-08-03 13:10, Carlos M. martinez escribió:
> Y filtrar RA en los switches (RAGuard & friends) :-) Esta es mas
> dificil, lo que se puede usar tambien es RAMOND para por lo menos
> _enterarse_ que hay un rogue RA.

Como ponia en la descripcion del problema, se trata de un medio
compartido y por lo tanto RAGuard no se aplica.  No se bien a que te
referis con sus friends, pero RAGuard explicitamente dice en el RFC
6105[1] lo siguiente:

> RA-Guard applies to an environment where all messages between IPv6end-devices traverse the controlled L2 networking devices.  It does not apply to shared media, when devices can communicate directly without going through an RA-Guard-capable L2 networking device.

¿Alguna otra idea?  No puedo creer que uno quede tan vulnerable en la
combinacion red ipv4-only (segmento ethernet, wireless) y sistemas
operativos modernos con IPv6 latente ...

Eduardo.

[1] http://www.faqs.org/rfcs/rfc6105.html