[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?
Carlos M. Martinez
carlosm3011 en gmail.com
Sab Ago 4 15:07:50 BRT 2012
Repasando un poco las herramientas que hay -me parece, tendría que confirmarlo probando algo- que se podría armar algo que proteja bastante usando un Linux con varias tarjetas de red, snort y escribiendo algunas reglas de snort.
En noviembre tenemos LACNOG 2012 en Montevideo, si alguien que sepa mas de snort se anima a explorar algo podemos demostrarlo ahí!
De ahí a si vale la pena, en estos años he tenido tantos rogue RA como rogue dhcp: cero. Hay que tener en cuenta que este ataque requiere acceso físico a la infraestructura de la red, o asociarse a los APs conociendo o rompiendo la clave WPA/WPA2.
A ese nivel de compromiso, el atacante ya puede sniffear todo el trafico que va y viene en el aire, puede también hacer cosas mas clásicas como inundar la tabla de macs del switch para que se comporte como hub, etc.
Puede usar dos wlans, una publicando un rogue dhcp y haciendo NAT en la otra para capturar trafico de manera transparente a los atacados, etc.
La seguridad en L2 es todo un tema, y no únicamente por IPv6. Las soluciones de fondo a estos problemas es autenticar el acceso a la capa 2 con 802.1x y RADIUS, pero cuanta gente lo hace?
Slds
Carlos
Sent from my iPad
On Aug 3, 2012, at 7:36 PM, Arturo Servin <aservin en lacnic.net> wrote:
>
> Y tambien puedo ponerlo en el puerto 80 de TCP y hacer un webservice.
>
> Si quieres un mecanismo que filtre 100% los ataques de rogue-RA estas perdiendo el tiempo. Y como nota el ataque funciona también para v4 si tienes una red IPv6 only (mandar un gw de v4 y crear un tunel v6).
>
> Si quieres minimizar el problema ya sabes como hacerlo con el equipo adecuado, si quieres evitarlo 100% entonces necesitas un DPI o un FW que analice el contenido de cada paquete y quizá ni así puedes estar seguro.
>
>
> Slds
> as
>
> On 3 Aug 2012, at 18:05, Eduardo Trápani wrote:
>
>> Qué suerte que veas todo tan fácil. Voy a dejar que una cita de
>> Fernando Gont en "Security Implications of IPv6 on IPv4 Networks"[1]
>> te aclare el alcance de tu sugerencia (que de todos modos parece
>> tangencial al tema del hilo):
>>
>> To prevent the Teredo initialization process from succeeding, and
>> hence prevent the use of Teredo, an organizational firewall could
>> filter outgoing UDP packets with a Destination Port of 3544.
>>
>> It is clear that such a filtering policy does not prevent an attacker
>> from running its own Teredo server in the public Internet, using a
>> non-standard UDP port for the Teredo service port (i.e., a port
>> number other than 3544).
>>
>> Eduardo.
>>
>> [1] http://tools.ietf.org/html/draft-gont-opsec-ipv6-implications-on-ipv4-nets-01
>>
>> 2012/8/3 Arturo Servin <aservin en lacnic.net>:
>>>
>>> Si te preocupa teredo funciona en UDP puerto 3544.
>>>
>>> Slds
>>> as
>>>
>>> On 3 Aug 2012, at 13:35, Eduardo Trápani wrote:
>>>
>>>> Alcanza con poner un cliente teredo en el equipo que ataca, anunciar un
>>>> prefijo valido cualquiera y hacer masq/NAT66 para que todos salgan por
>>>> la IPv6 de teredo. Seguimos en la mima situacion.
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
Más información sobre la lista de distribución LACNOG