[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Fernando Gont fgont en si6networks.com
Mie Ago 8 18:04:20 BRT 2012


Hola, Carlos,

On 08/08/2012 03:31 PM, Carlos M. martinez wrote:
>> * <http://tools.ietf.org/html/draft-ietf-opsec-ra-guard-implementation>
>> * <http://tools.ietf.org/html/draft-gont-opsec-dhcpv6-shield>
>> * <http://tools.ietf.org/html/draft-gont-opsec-nd-shield>
>>
>>
>> El primero originalmente implementado de manera horrible. Los dos
>> ultimos probablemente siguiendo el mismo triste camino -- personalmente
>> hice mi intento por lo contrario en la ultima reunion del opsec wg.
> 
> De acuerdo :-)

Not to mention que el nivel de paja que está habiendo en la IETF hace
bastante probable que sigamos el camino de "glopearnos la cabeza con
cosas predecibles".


[....]
> Creo que el problema del rogue-RA es un problema que tendemos a sacar de
> proporcion. 

Personalmente, yo intento tomar la posición de "no pensar al pedo", en
el sentido de que si hay algo que es facilmente solucionable, prefiero
arrglarlo sin romperme la cabeza de evaluar "cuan probable" es que
alguin lo explote.

Este es un caso así: RA-Guard es fixeable, al igual que lo son
herramientas como ramond... Por eso preferiria arreglarlos, y listo.


> Como comentaba, hace años que venimos operando redes dual
> stack y nunca fuimos victimas de un ataque como este (salvo el tuyo Fer,
> y en esa red no habia RA Guard :-))) )

jaja... lo gracioso es que en "la situación que se dio en el LACNIC de
Cancun" es que yo asumí lo que habia dicho Jordi (que la red corria
RA-Guard), y pense que los primeros paquetes sería bloqueados (no usaban
fragmentacion, siquiera). A medida que empezaron las puteadas, concluí
que la red no corría RA-Guard. Luego, quise solucionar el problema
enviando RAs para desactivar el efecto de los paquetes de ataque, pero
no se si por bugs en las implementaciones, o que, no funcionó.


> Insisto con un punto que he mencionado antes: cualquier analisis de
> seguridad tiene que venir de la mano de una evaluacion de riesgo y de
> evaluacion de adversarios. Si adversario fuera el gobierno chino, bueno,
> estoy en problemas, pero esta no es la realiad de la mayoria de las
> redes de nuestra region.

A lo que voy es que este tipo de ataque es facilmente mitigable. Yo no
perdería el tiempo (para *este* caso particular) pensando si es que va a
haber alguien de un gobierno, o simplemente un salame enviando paquetes
en el sal{on de al lado.

Obviamente, el punto está en que funcionalidad tal como ra-guard no es
ampliamente soportada, y entonces, a la practica, no es solucionable.

De cualquier modo, tampoco es cierto que todo el mundo implemente
dhcp-snooping y similares en IPv4, y asi y todo aqui estamos.

Aparte, si uno lo piensa, el "worst-case scenario" de una ataque de
estos en una conf es que a la gente no le quede otra que tener que
prestarle atención a las persentaciones ;-) -- con lo cual, al final del
dia, de una u otra forma uno tiene el "exito" garantizado ;-))



>> Los interesados en jugar, pueden probar con el IPv6 toolkit
>> <http://www.si6networks.com/tools> -- una herramienta de amor IPv6 :-)
>>
>> Un abrazo,
> 
> Muy recomendables.

Probaste algo en Mac? -- Portarlas a Mac fue el ultimo "feature".

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG