[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?
Fernando Gont
fgont en si6networks.com
Sab Ago 4 21:22:03 BRT 2012
Hola, Carlos,
On 08/04/2012 03:07 PM, Carlos M. Martinez wrote:
> Repasando un poco las herramientas que hay -me parece, tendría que
> confirmarlo probando algo- que se podría armar algo que proteja
> bastante usando un Linux con varias tarjetas de red, snort y
> escribiendo algunas reglas de snort.
Te referis a usar el Linux como router/switch, o a otra cosa?
-- Si es eso, claro que se podría. No haria falta el Snort. Simplemente
habria que filtrar los paquetes de acuerdo a
draft-ietf-v6ops-ra-guard-implementation.
Nota: Para que ello funcione, los sistemas deben prohibir el uso de
"overlapping fragments" (ver:
<http://blog.si6networks.com/2012/02/ipv6-nids-evasion-and-improvements-in.html>).
> En noviembre tenemos LACNOG 2012 en Montevideo, si alguien que sepa
> mas de snort se anima a explorar algo podemos demostrarlo ahí!
Si alguno le interesa, yo puedo enviar algo al respecto.... aunque no
hace falta el Snort.
> De ahí a si vale la pena, en estos años he tenido tantos rogue RA
> como rogue dhcp: cero.
Todo depende del entorno, de la motivacion del atacante, etc.
> Hay que tener en cuenta que este ataque
> requiere acceso físico a la infraestructura de la red, o asociarse a
> los APs conociendo o rompiendo la clave WPA/WPA2.
De acuerdo... pero esto es perfectamente "conseguible" en situaciones
tales como redes de conferencias.
> La seguridad en L2 es todo un tema, y no únicamente por IPv6.
De acuerdo. En IPv6 la cosa se complicó un poco debido a que la
estructura de los paquetes correspondientes es mas compleja (i.e.,
draft-ietf-6man-oversized-header-chain).
Un abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG