[lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?
Fernando Gont
fgont en si6networks.com
Vie Ago 10 14:18:13 BRT 2012
On 08/10/2012 01:59 PM, Eduardo Trápani wrote:
> ¿No es medio exagerado lo de "varias" y que "están"?
Todo es lo mismo: si lo tenés, y esta bien implementado, funciona. :-)
Lease: todo se encuentra sujeto a esas dos condiciones, conectadas con
un AND logico. :-)
> Es la primera que
> dicen que efectivamente debería andar sin detalles de implementación, no
> es evadible y no implica manejar IPv6 en el L2 (la red del hilo *es*
> IPv4-only).
Esto es "relativo": El atacante podría disparar ISATAP, o Teredo,
tambien, lo cual termina siendo escencialmente lo mismo que si hubiera
disparado RAs. -- y ni ISATAP ni teredo se pueden filtrar mediante
EthType=0x86DD.
Mi recomendación es que si realmente necesitas que la red sea v4-only,
filtres tanto v6-nativo como tecnologias de transición. Y si fuera
realmente necesario, directamente lo deshabilites.
Un abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG