[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Fernando Gont fgont en si6networks.com
Sab Ago 4 20:57:23 BRT 2012


On 08/03/2012 01:10 PM, Carlos M. martinez wrote:
> Y filtrar RA en los switches (RAGuard & friends) :-) 

FWIW,

* <http://tools.ietf.org/html/draft-ietf-opsec-ra-guard-implementation>
* <http://tools.ietf.org/html/draft-gont-opsec-dhcpv6-shield>
* <http://tools.ietf.org/html/draft-gont-opsec-nd-shield>


El primero originalmente implementado de manera horrible. Los dos
ultimos probablemente siguiendo el mismo triste camino -- personalmente
hice mi intento por lo contrario en la ultima reunion del opsec wg.



> Esta es mas
> dificil, lo que se puede usar tambien es RAMOND para por lo menos
> _enterarse_ que hay un rogue RA.

El tema con RAMOND (*) es es facilmente evasible....

(*) SI hubiera sido developer de esta herramienta, no podria haber
evitado que el "logo oficial" fuera una "silueta" de Don Ramón. :-)



> Un pobre sustituto para el RA Guard que he visto usado es el filtrado de
> todo el multicast de L2, que es una funcionalidad que se encuentra en
> mas APs sobre todo. Personalmente, lo recomendaria solo como medida de
> emergencia frente a un ataque real.

Esto podría potencialmente "evadirse", con alguna de estas dos técnicas:

1) Usar direcciones multicast a nivel IPv6, pero usar como MAC de
destino aquella de la victima, o,

2) Simplemenete eviar los RA con MAC e IPv6 origien unicast -- habria
que probarlo... tal vez los sistemas procesen estos paquetes igual.

Los interesados en jugar, pueden probar con el IPv6 toolkit
<http://www.si6networks.com/tools> -- una herramienta de amor IPv6 :-)

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG