[lacnog] [LACNIC/Seguridad] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?
Fernando Gont
fgont en si6networks.com
Mie Ago 8 18:47:54 BRT 2012
On 08/08/2012 06:27 PM, Arturo Servin wrote:
> Yo pondria "facilmente" (o sea entre comillas).
>
> Coincido que parte de la lentitud de tu propuesta (y la del DHCP que
> presentaste en Vancouver) en el IETF es la politica en el mismo, pero
> tampoco estuvo tan fácil técnicamente y creo que sin entrar en detalles
> hubo gente que tenía argumentos válidos de
Te traduzco el feedback obtenido, con la political-incorrectness que me
caracteriza:
"Tenemos un wg (SAVI) que viene trabajando en temas relacionados hace un
monton de tiempo. Un feature (opcional) es algo similar a lo que vos
estas describiendo de dhcpv6 guard, con al diferencia que para poder
implementarlo a nosotros nos hace falta incluir otro mierdal de maquinaria".
O sea.... :-)
Otro dijo "Me gustaria ver a alguien de un vendor como co-autor", a lo
que yo pensé "tengo que recordarte quien escribio la spec original de
ra-guard?" :-)
> porque no era tan fácil
> (fragmentación necesaria para SeND, statefull inspection en switches,
> eliminación de fragmentación en RA para el futuro, etc.)
Lo que requiere statefull inspection es nd-shield. Pero dhcpv6-guard es
stateless.
Respecto a la eliminacion de fragmentacion, eso queda implicitamente
eliminado al implementar estos *-shield. -- lo de
draft-ietf-6man-nd-extension-headers es, en lo que a esto respecta,
basicamente para que los "puristas" no se quejen...
Un abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG