[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Arturo Servin aservin en lacnic.net
Vie Ago 3 23:36:25 BRT 2012 

	Y tambien puedo ponerlo en el puerto 80 de TCP y hacer un webservice.

	Si quieres un mecanismo que filtre 100% los ataques de rogue-RA estas perdiendo el tiempo. Y como nota el ataque funciona también para v4 si tienes una red IPv6 only (mandar un gw de v4 y crear un tunel v6).

	Si quieres minimizar el problema ya sabes como hacerlo con el equipo adecuado, si quieres evitarlo 100% entonces necesitas un DPI o un FW que analice el contenido de cada paquete y quizá ni así puedes estar seguro.

	
Slds
as

On 3 Aug 2012, at 18:05, Eduardo Trápani wrote:

> Qué suerte que veas todo tan fácil.  Voy a dejar que una cita de
> Fernando Gont en "Security Implications of IPv6 on IPv4 Networks"[1]
> te aclare el alcance de tu sugerencia (que de todos modos parece
> tangencial al tema del hilo):
> 
>   To prevent the Teredo initialization process from succeeding, and
>   hence prevent the use of Teredo, an organizational firewall could
>   filter outgoing UDP packets with a Destination Port of 3544.
> 
>   It is clear that such a filtering policy does not prevent an attacker
>   from running its own Teredo server in the public Internet, using a
>   non-standard UDP port for the Teredo service port (i.e., a port
>   number other than 3544).
> 
> Eduardo.
> 
> [1] http://tools.ietf.org/html/draft-gont-opsec-ipv6-implications-on-ipv4-nets-01
> 
> 2012/8/3 Arturo Servin <aservin en lacnic.net>:
>> 
>>        Si te preocupa teredo funciona en UDP puerto 3544.
>> 
>> Slds
>> as
>> 
>> On 3 Aug 2012, at 13:35, Eduardo Trápani wrote:
>> 
>>> Alcanza con poner un cliente teredo en el equipo que ataca, anunciar un
>>> prefijo valido cualquiera y hacer masq/NAT66 para que todos salgan por
>>> la IPv6 de teredo.  Seguimos en la mima situacion.
>> 
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net

Más información sobre la lista de distribución LACNOG