[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Fernando Gont fgont en si6networks.com
Sab Ago 4 21:11:37 BRT 2012


On 08/03/2012 08:22 PM, Eduardo Trápani wrote:
> Si, claro que hay L2, pero no "*RA-Guard-capable* L2".  ¿Lo que me estas
> diciendo es que para proteger una red IPv4 que tiene switches que no son
> "RA-guard capable" tengo que hacer un upgrade de todos los switches?
> 
> Me gusto lo del hub :), a los efectos del rogue RA no hay mucha
> diferencia con el comportamiento del switch.
> 
> Pregunto entonces, ademas de cambiar firmwares y comprar hardware y
> actualizar stacks, ¿hay *otra* solucion para no quedar vulnerable?

Comprar switches "RA-Guard capable" no necesariamente solucionará tu
problema: algunas implementaciones de RA-Guard son (im)popularmenete
conocidas por ser vulnerables a evasión.

Un amigo ;-) amigo de las teorías conspirativas me comentó una vez que
el equipo de seguridad de un importante vendor que implementa RA-Guard
argumentó que no iba a arreglar su implementación, ya que "para ello
existe SEND" --- sad, sad, sad...


> Aparte de SEcure Network Discovery, que parece muy complicado y poco
> soportado.

Poco soportado, dificil de desplegar, y potencialmenter inefectivo (ver
discusión en draft-ietf-6man-nd-extension-headers).



> Por ejemplo, ¿hay otra solucion para ofrecer al administrador de la red
> a la que de hecho le derivaron el trafico IPv6 con un rogue RA en el
> segmento de la wireless?

No.



> Mire por ejemplo algunos de los ultimos Belkin wireless y ninguno
> menciona RA-Guard ...  O sea, te compras un AP en el 2012 y estas
> expuesto, y a medida que haya mas sitios dual-stack va a ser mas el
> trafico que te puedan capturar con un rogue RA.

El problema es en realidad "peor", en el sentido que un atacante podría
enviar RAs, y aparte hacer NAT64, y/o dar direcciones e un prefijo que
el maneja, de modo que dichos sistemas tengan conectividad global IPv6,
y que potencialmente la prefieran por sober la conectividad IPv4.



>>> ¿Alguna otra idea?  No puedo creer que uno quede tan vulnerable en la
>>> combinacion red ipv4-only (segmento ethernet, wireless) y sistemas
>>> operativos modernos con IPv6 latente ...
>> La idea es esta, RAGuard, descripta especificamente para este problema.
> 
> En la redes en que trabajo no hay un solo switch *RA-Guard-capable*.

Si querés, podés jugar con ra6 del IPv6 toolkit
<http://www.si6networks.com/tools> para ver si es evadible....

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG