[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Jue Ago 9 12:54:36 BRT 2012

		El problema de raiz es que te conectas a una red donde no autenticas a tu proveedor. Si lo hiciéramos todos o la mayoría de los problemas se resolverían.

	O sea, usar 802.1x y/o SeND.

	Que no es facil y no hay software gratuito es ortogonal al problema.

Slds
as

On 9 Aug 2012, at 11:57, Eduardo Trápani wrote:

> 
>> Obviamente, el punto está en que funcionalidad tal como ra-guard no es
>> ampliamente soportada, y entonces, a la practica, no es solucionable.
> 
> Gracias.
> 
>> De cualquier modo, tampoco es cierto que todo el mundo implemente
>> dhcp-snooping y similares en IPv4, y asi y todo aqui estamos.
> 
> Leí ya varias veces la comparación.  Pero hay algo que me choca sobre ella:
> 
> DHCPv4 entrega una dirección, hay protección posible desde el software
> de algunos clientes y el éxito del ataque depende de una race condition.
> En IPv4-only DHCP es además opcional (en la red del tópico no).
> 
> Un rogue RA agrega direcciones a las ya existentes, no hay protección
> posible (en la red IPv4-only/IPv6-latente a menos que compres hardware
> dual-stack con RA-guard, lo configures y funcione) y el ataque es
> seguro, sabés que va a funcionar.  Además SLAAC viene habilitado por
> defecto en los sistemas, no es opcional.  Entiendo que ni con una ipv6
> estática deja de autoconfigurar.
> 
>> Aparte, si uno lo piensa, el "worst-case scenario" de una ataque de
>> estos en una conf es que a la gente no le quede otra que tener que
>> prestarle atención a las persentaciones  -- con lo cual, al final del
>> dia, de una u otra forma uno tiene el "exito" garantizado ;-))
> 
> ¿Seguro?  Lamentablemente no, el "worst-case scenario" es bastante peor,
> es alguien *interceptando* todo el tráfico IPv6, incluído potencialmente
> DNS.  Mirá la experiencia de Carlos Martínez en Haití[1] (que fue la que
> generó mi preocupación y consulta):
> 
>> Hace dos semanas estuve con Arturo en Haití y habilitamos IPv6 en la red 
>> del evento donde estabamos, sin decirle nada a nadie y usando un tunel. 
>> En 15 minutos el 30% del trafico de la red era IPv6, concretamente 
>> desde/hacia Facebook y 'Cosas Google varias'. Nadie se quejó, nadie dijo 
>> nada. Cuando se lo mostramos el comentario fue 'pero no tuvimos que 
>> hacer nada!'.
> 
> Para la parte de atención a las presentaciones no suena muy exitoso ;).
> Y el "worst-case scenario" parece un poquito worse ...
> 
> En una wireless pública uno podría esperar que le pasaran cosas, el tema
> es que esto es totalmente replicable en cualquier segmento ethernet
> IPv4-only con sistemas modernos (con IPv6 latente).  Algunos todavía no
> pueden darse el "lujo" (formación, compra de hardware, verificación de
> sistemas) de pasarse a IPv6.  Sin embargo cosas como esta tienen un lado
> "positivo", empujan violentamente la prioridad de empezar a aprender
> IPv6, aunque sea para aprender a poner cosas como (en Linux)
> 
> sudo sysctl -w net.ipv6.conf.all.autoconf=0
> sudo sysctl -w net.ipv6.conf.all.accept_ra=0
> 
> en los servidores mientras uno prepara todos los recursos necesarios
> para migrar.
> 
> Eduardo.
> 
> [1]
> http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/2012-July/002061.html
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net