[lacnog] [LACNIC/Seguridad] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Fernando Gont fgont en si6networks.com
Mie Ago 8 18:47:54 BRT 2012


On 08/08/2012 06:27 PM, Arturo Servin wrote:
> Yo pondria "facilmente" (o sea entre comillas).
> 
> Coincido que parte de la lentitud de tu propuesta (y la del DHCP que
> presentaste en Vancouver) en el IETF es la politica en el mismo, pero
> tampoco estuvo tan fácil técnicamente y creo que sin entrar en detalles
> hubo gente que tenía argumentos válidos de 

Te traduzco el feedback obtenido, con la political-incorrectness que me
caracteriza:

"Tenemos un wg (SAVI) que viene trabajando en temas relacionados hace un
monton de tiempo. Un feature (opcional) es algo similar a lo que vos
estas describiendo de dhcpv6 guard, con al diferencia que para poder
implementarlo a nosotros nos hace falta incluir otro mierdal de maquinaria".

O sea.... :-)

Otro dijo "Me gustaria ver a alguien de un vendor como co-autor", a lo
que yo pensé "tengo que recordarte quien escribio la spec original de
ra-guard?" :-)



> porque no era tan fácil
> (fragmentación necesaria para SeND, statefull inspection en switches,
> eliminación de fragmentación en RA para el futuro, etc.)

Lo que requiere statefull inspection es nd-shield. Pero dhcpv6-guard es
stateless.

Respecto a la eliminacion de fragmentacion, eso queda implicitamente
eliminado al implementar estos *-shield. -- lo de
draft-ietf-6man-nd-extension-headers es, en lo que a esto respecta,
basicamente para que los "puristas" no se quejen...

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG