[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Vie Ago 3 18:00:47 BRT 2012


Hola!

On 8/3/12 1:35 PM, Eduardo Trápani wrote:
>>> A raíz de una experiencia comentada en otra lista me quedé pensando en
>>> si era posible protegerse en un segmento de red IPv4-only de alguien que
>>> sin autorización levante un túnel IPv6 y empiece a anunciar el prefijo
>>> por RA. (el medio es compartido).
> El 2012-08-03 13:01, Arturo Servin escribió:
>> 	Filtrar protocol 41 en el borde.
> Entiendo la idea, pero como bloqueo para ese ataque no es muy efectiva.
>   Alcanza con poner un cliente teredo en el equipo que ataca, anunciar un
> prefijo valido cualquiera y hacer masq/NAT66 para que todos salgan por
> la IPv6 de teredo.  Seguimos en la mima situacion.
>
> El intento de bloquear el tunel en el borde no sirve porque el ataque se
> esta dando en otro nivel (si es necesario me hago un tunel personal
> ipv6/tap con openvpn sobre https desde el equipo que ataca, es algo muy
> facil).  No es el tunel en si lo que genera el ataque sino la activacion
> engañosa de IPv6.
El ataque tiene dos componentes, el rogue RA y el tunel. Lo que propone 
Arturo es lo que te evita la parte del tunel. Podrias tener rogue RA sin 
tunel, o tunel sin rogue RA (para usar como 'covert channel' para una 
maquina sola).
>
> El 2012-08-03 13:10, Carlos M. martinez escribió:
>> Y filtrar RA en los switches (RAGuard & friends) :-) Esta es mas
>> dificil, lo que se puede usar tambien es RAMOND para por lo menos
>> _enterarse_ que hay un rogue RA.
> Como ponia en la descripcion del problema, se trata de un medio
> compartido y por lo tanto RAGuard no se aplica.  No se bien a que te
> referis con sus friends, pero RAGuard explicitamente dice en el RFC
> 6105[1] lo siguiente:
>
>> RA-Guard applies to an environment where all messages between IPv6end-devices traverse the controlled L2 networking devices.  It does not apply to shared media, when devices can communicate directly without going through an RA-Guard-capable L2 networking device.
RAGuard se describe exactamente para este problema. Si bien el medio es 
compartido, a menos que estes usando un hub (que no creo) o usando wi-fi 
ad-hoc (menos todavia) siempre tus mensajes L2 pasan por un equipo 
controlador intermedio (hay conmutacion de tramas L2 en el switch y en 
el AP), que puede ser el switch o el access point o una combinación de 
las dos cosas (APs tontos conectados a puertos de un switch inteligente 
que si hace RAGuard).

En el ultimo caso, el de los APs tontos, el ataque queda circunscripto a 
los usuarios de un AP, aquel donde esta conectado el atacante. Si los 
APs son mas inteligentes, lo filtran directamente ellos mismos.

> ¿Alguna otra idea?  No puedo creer que uno quede tan vulnerable en la
> combinacion red ipv4-only (segmento ethernet, wireless) y sistemas
> operativos modernos con IPv6 latente ...
La idea es esta, RAGuard, descripta especificamente para este problema. 
Hay implementaciones opensource (RAMOND) pero la debilidad que tienen es 
que gralmente uno no conmuta trafico L2 en un PC, por eso es que estas 
implementaciones solo de software sirven mas para 'enterarse' que algo 
esta pasando que para prevenirlo efectivamente.
>
> Eduardo.
~Carlos
>
> [1] http://www.faqs.org/rfcs/rfc6105.html
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net




Más información sobre la lista de distribución LACNOG