[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Carlos M. martinez carlosm3011 en gmail.com
Mie Ago 8 15:31:43 BRT 2012 

Fer,

On 8/4/12 8:57 PM, Fernando Gont wrote:
> On 08/03/2012 01:10 PM, Carlos M. martinez wrote:
>> Y filtrar RA en los switches (RAGuard & friends) :-)
>
> FWIW,
>
> * <http://tools.ietf.org/html/draft-ietf-opsec-ra-guard-implementation>
> * <http://tools.ietf.org/html/draft-gont-opsec-dhcpv6-shield>
> * <http://tools.ietf.org/html/draft-gont-opsec-nd-shield>
>
>
> El primero originalmente implementado de manera horrible. Los dos
> ultimos probablemente siguiendo el mismo triste camino -- personalmente
> hice mi intento por lo contrario en la ultima reunion del opsec wg.
>

De acuerdo :-)

>
>
>> Esta es mas
>> dificil, lo que se puede usar tambien es RAMOND para por lo menos
>> _enterarse_ que hay un rogue RA.
>
> El tema con RAMOND (*) es es facilmente evasible....

Pero es una herramienta suficiente para la mayoria de los escenarios, 
igual que RAGuard. Son evadibles, y son quizas soluciones crudas a un 
problema que en realidad es de mas bajo nivel (autenticacion del aacceso 
a la capa 2), pero para la mayoria de las situaciones proporcionan un 
nivel de aseguramiento de la infraestructura mas que aceptable.

Creo que el problema del rogue-RA es un problema que tendemos a sacar de 
proporcion. Como comentaba, hace años que venimos operando redes dual 
stack y nunca fuimos victimas de un ataque como este (salvo el tuyo Fer, 
y en esa red no habia RA Guard :-))) )


>
> (*) SI hubiera sido developer de esta herramienta, no podria haber
> evitado que el "logo oficial" fuera una "silueta" de Don Ramón. :-)
>

Seria genial!

>
>
>> Un pobre sustituto para el RA Guard que he visto usado es el filtrado de
>> todo el multicast de L2, que es una funcionalidad que se encuentra en
>> mas APs sobre todo. Personalmente, lo recomendaria solo como medida de
>> emergencia frente a un ataque real.
>
> Esto podría potencialmente "evadirse", con alguna de estas dos técnicas:
>
> 1) Usar direcciones multicast a nivel IPv6, pero usar como MAC de
> destino aquella de la victima, o,
>
> 2) Simplemenete eviar los RA con MAC e IPv6 origien unicast -- habria
> que probarlo... tal vez los sistemas procesen estos paquetes igual.
>

Ninguna de las soluciones a estos problemas es perfecta, todas tienen 
mejores o peores aspectos, como la mayoria de las soluciones de 
seguridad. C'mon, hasta el MD5 y el SHA-1 se pueden atacar, pero los 
consideramos como 'suficientemente buenos por ahora', y seguimos con 
nuestra vida, no nos quedamos congelados esperando que el NIST 
estandarice el SHA-3.

Insisto con un punto que he mencionado antes: cualquier analisis de 
seguridad tiene que venir de la mano de una evaluacion de riesgo y de 
evaluacion de adversarios. Si adversario fuera el gobierno chino, bueno, 
estoy en problemas, pero esta no es la realiad de la mayoria de las 
redes de nuestra region.

Tambien es diferente si opero una red de 20 personas o de 20000, o 
muchas otras caracteristicas.

> Los interesados en jugar, pueden probar con el IPv6 toolkit
> <http://www.si6networks.com/tools> -- una herramienta de amor IPv6 :-)
>
> Un abrazo,
>

Muy recomendables.

s2

Carlos

Más información sobre la lista de distribución LACNOG