[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

Fernando Gont fernando en gont.com.ar
Jue Ago 9 15:29:22 BRT 2012 

On 08/09/2012 11:57 AM, Eduardo Trápani wrote:
[....]
> Un rogue RA agrega direcciones a las ya existentes, no hay protección
> posible (en la red IPv4-only/IPv6-latente a menos que compres hardware
> dual-stack con RA-guard, lo configures y funcione) y el ataque es
> seguro, sabés que va a funcionar.  Además SLAAC viene habilitado por
> defecto en los sistemas, no es opcional.  Entiendo que ni con una ipv6
> estática deja de autoconfigurar.

Correcto.



>> Aparte, si uno lo piensa, el "worst-case scenario" de una ataque de
>> estos en una conf es que a la gente no le quede otra que tener que
>> prestarle atención a las persentaciones  -- con lo cual, al final del
>> dia, de una u otra forma uno tiene el "exito" garantizado ;-))
> 
> ¿Seguro?  

Estaba siendo irónico. :-)




> En una wireless pública uno podría esperar que le pasaran cosas, el tema
> es que esto es totalmente replicable en cualquier segmento ethernet
> IPv4-only con sistemas modernos (con IPv6 latente).  Algunos todavía no
> pueden darse el "lujo" (formación, compra de hardware, verificación de
> sistemas) de pasarse a IPv6.  

Si hablamos de "individuos", probablemente esté de acuerdo. Pero dudo
que este sea el caso de una empresa. -- salvo que "lujo" tenga la
connotación de romper con el esquema de "me quiero llevar todo el $$$ a
mi casa, invirtiendo lo menos posible".



> Sin embargo cosas como esta tienen un lado
> "positivo", empujan violentamente la prioridad de empezar a aprender
> IPv6, aunque sea para aprender a poner cosas como (en Linux)

<rant>
Esto situación creo que replica a casi todos los problemas "sociales"
(*) que uno vive en lo cotidiano.

Vamos un caso concreto: Se publican dos RFCs sobre RA-Guard, donde se
dejan por fuera las cuestiones mas elementales de la tecnologia en
cuestion (como implementarla :-) ). Al menos una empresa implementa y
*vende* esa tecnología, siendo la misma trivialmente evadible. El equipo
de seguridad de la empresa en cuestión niega implementar un fix.
Alguien (yo, en este caso.. pero podria haber sido cualquiera) hace algo
(publicar un I-D en la IETF) que puede ayudar a solucionar la cuestión
(basicamente, que se updatee el standard en cuestion, de modo que los
vendors que implementen ra-guard esten "forzados" a implementarlo bien).

Como todo en la IETF, requiere consenso (lease, gente que "apoye"). Y a
la hora de tomarse las decisiones, básicamente somos tres o cuatros
gatos locos peleando... Arturo esquivando balas en IETF Quebec, yo
prendiendo fuego gente por algunas listas de mail, o en reuniones de
IETF, etc.

Al final del dia, la comunidad tiene...mmm.. no se si lo que merece,
pero sin duda aquello por lo cual peleó.

Todo el mundo quiere que alguien del mas alla (?) solucione sus
problemas... Y eso usualmente no sucede.

En muchisimos casos, aquellas cosas que *si* se hicieron/solucionaron
fue por la participación de un manojo de personas. -- Me encantaría
creer que quienes pusimos un granito de arena para mejorar algunos
aspectos de IPv6 somos algo así como los "Iluminati del IPv6"... pero
eso es algo peligroso (minimamente). Ya que si en realidad fueramos los
"Apagati del IPv6" (mi sentido del humor en su maximo exponente ;) ),
entonces podríamos estar jodiendo absolutamente todo, ante la apatía de
la comunidad. (**)

Extrapolá esta misma situación a problemas mas graves en orden
politico/social, y... voila! -- es lo mismo. (***)

(*) "sociales" en el sentido de que la "gente" tiene una buena cuota de
responsabilidad.

(**) Despues de haberme fumado miles de situaciones en torno a cosas
como estas, creo que voy a empezar a llevar a en mi mochila/morral un
puro de esos que me trajo mi hermana del exterior (escribiendole en el
costado "Ra-Guard"), y si en una conf se cae la red por estupideces de
este estilo, me iré a la terraza, y me lo fumaré.

(***) Lo cual nos lleva a la conclusión de un gran amigo, sobre que este
planeta, en general, es muy poco serio. :-)
</rant>


(Todos los comentarios anteriores hechos como individuo, y *no* en
representación de quien(es) trabajo)

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución LACNOG