[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Vie Ago 3 20:22:02 BRT 2012

> El ataque tiene dos componentes, el rogue RA y el tunel. Lo que propone
> Arturo es lo que te evita la parte del tunel. Podrias tener rogue RA sin

Pero solamente evita algunos tipos de tuneles.  Hay muchisimas maneras
de armar el tunel, bloquear el 41 no va a frenar a un atacante
medianamente capaz.  Es buena politica bloquearlo (aparecio en uno de
los documentos de Fernando Gont en la lista hace poco) pero no garantiza
ni, como decis, evita mucho.

>>> RA-Guard applies to an environment where all messages between
>>> IPv6end-devices traverse the controlled L2 networking devices.  It
>>> does not apply to shared media, when devices can communicate directly
>>> without going through an RA-Guard-capable L2 networking device.
> RAGuard se describe exactamente para este problema. Si bien el medio es
> compartido, a menos que estes usando un hub (que no creo) o usando wi-fi
> ad-hoc (menos todavia) siempre tus mensajes L2 pasan por un equipo
> controlador intermedio (hay conmutacion de tramas L2 en el switch y en
> el AP), que puede ser el switch o el access point o una combinación de
> las dos cosas (APs tontos conectados a puertos de un switch inteligente
> que si hace RAGuard).

Si, claro que hay L2, pero no "*RA-Guard-capable* L2".  ¿Lo que me estas
diciendo es que para proteger una red IPv4 que tiene switches que no son
"RA-guard capable" tengo que hacer un upgrade de todos los switches?

Me gusto lo del hub :), a los efectos del rogue RA no hay mucha
diferencia con el comportamiento del switch.

Pregunto entonces, ademas de cambiar firmwares y comprar hardware y
actualizar stacks, ¿hay *otra* solucion para no quedar vulnerable?
Aparte de SEcure Network Discovery, que parece muy complicado y poco
soportado.

Por ejemplo, ¿hay otra solucion para ofrecer al administrador de la red
a la que de hecho le derivaron el trafico IPv6 con un rogue RA en el
segmento de la wireless?

Mire por ejemplo algunos de los ultimos Belkin wireless y ninguno
menciona RA-Guard ...  O sea, te compras un AP en el 2012 y estas
expuesto, y a medida que haya mas sitios dual-stack va a ser mas el
trafico que te puedan capturar con un rogue RA.

>> ¿Alguna otra idea?  No puedo creer que uno quede tan vulnerable en la
>> combinacion red ipv4-only (segmento ethernet, wireless) y sistemas
>> operativos modernos con IPv6 latente ...
> La idea es esta, RAGuard, descripta especificamente para este problema.

En la redes en que trabajo no hay un solo switch *RA-Guard-capable*.
¿Ustedes tienen?  En casa mi pobre Belkin 54g ni siquiera sabe que
existe IPv6.  Si la unica proteccion es salir a comprar hardware o
esperar un firmware upgrade ... creo que hay un problema y es preocupante.

Gracias Carlos, tomo tu respuesta: RAGuard con lo que implique en
terminos de costos y migracion de hardware.  Es una respuesta, nadie
dijo que iba a ser una linda ;).

Si alguien quiere saber si en su red IPv4 o IPv6 un rogue RA es un
problema o no pueden hacer algo tan simple como una linea de este tipo:

# fake_router6 eth0 2001:db8:dead:beef::/64

Y ver si los clientes empiezan a agregar el prefijo.

El resto de la historia y enlaces al software, aca[1].

Eduardo.

[1]
http://www.insinuator.net/2011/03/ipv6-security-part-2-ra-guard-%E2%80%93-lets-get-practical/