[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

[Fernando Gont]

Hola, Carlos,

On 08/04/2012 03:07 PM, Carlos M. Martinez wrote:
> Repasando un poco las herramientas que hay -me parece, tendría que
> confirmarlo probando algo- que se podría armar algo que proteja
> bastante usando un Linux con varias tarjetas de red, snort y
> escribiendo algunas reglas de snort.

Te referis a usar el Linux como router/switch, o a otra cosa?

-- Si es eso, claro que se podría. No haria falta el Snort. Simplemente
habria que filtrar los paquetes de acuerdo a
draft-ietf-v6ops-ra-guard-implementation.

Nota: Para que ello funcione, los sistemas deben prohibir el uso de
"overlapping fragments" (ver:
<http://blog.si6networks.com/2012/02/ipv6-nids-evasion-and-improvements-in.html>).


> En noviembre tenemos LACNOG 2012 en Montevideo, si alguien que sepa
> mas de snort se anima a explorar algo podemos demostrarlo ahí!

Si alguno le interesa, yo puedo enviar algo al respecto.... aunque no
hace falta el Snort.



> De ahí a si vale la pena, en estos años he tenido tantos rogue RA
> como rogue dhcp: cero. 

Todo depende del entorno, de la motivacion del atacante, etc.


> Hay que tener en cuenta que este ataque
> requiere acceso físico a la infraestructura de la red, o asociarse a
> los APs conociendo o rompiendo la clave WPA/WPA2.

De acuerdo... pero esto es perfectamente "conseguible" en situaciones
tales como redes de conferencias.



> La seguridad en L2 es todo un tema, y no únicamente por IPv6.

De acuerdo. En IPv6 la cosa se complicó un poco debido a que la
estructura de los paquetes correspondientes es mas compleja (i.e.,
draft-ietf-6man-oversized-header-chain).

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492