[lacnog] Fwd: RA-Guard: Advice on the implementation (feedback requested)

Eduardo Trápani etrapani en gmail.com
Jue Feb 2 10:32:12 BRST 2012 

> Mas de uno debe haber leido sobre el tema de evasión de RA-Guard en mas
> de una oportunidad (incluyendo:
> <http://blog.si6networks.com/2011/09/router-advertisement-guard-ra-guard.html>).
> 
> Acabo de publicar una revision de un IETF I-D que describe el problema,
> y propone una solución.

Yo soy un "nuevo" total en IPv6 y más en aspectos tan técnicos, espero
no estar exhibiendo demasiada burricie :).  Me dio curiosidad el tema y
si no pregunto, no aprendo.

> The most effective and efficient mitigation for the RA-Guard evasion vulnerability discussed in this document would be to prohibit the use of IPv6 Extension Headers in Neighbor Discovery messages

¿A nadie se le ocurre un uso legítimo (futuro) de extension headers en
esos mensajes?  Y si el problema es con los RA, ¿por qué extender la
prohibición a toda la familia de neighbor discovery?

> When trying to identify an ICMPv6 Router Advertisement message, follow the IPv6 header chain, enforcing a limit on the maximum number of Extension Headers that is allowed for each packet.  If such limit is exceeded, block the packet.

Así como lo leo el bloqueo parece aplicarse a todo el tráfico, es decir,
¿que pasa si no había RA pero sí una cantidad excesiva de encabezados
extendidos?  También voy a bloquear el paquete en mi intento de
identificar el RA, ¿no?  (lo que puede ser bueno, había por ahí otro
problema que se arreglaba así, limitando los encabezados, pero
trasciende el problema original).

> If the layer-2 device is unable to identify whether the packet is an ICMPv6 Router Advertisement message or not (i.e., the packet is a fragment, and the necessary information is missing), and the IPv6 Source Address of the packet is a link-local address or the unspecified address (::), block the packet.

Pero, ¿eso no abarca a un montón de otros potenciales paquetes?  ¿Es
seguro?  Porque son paquetes de los que no sabemos mucho.

En resumen, si bien las dos soluciones finales andarían para mitigar el
problema del RA, ¿cuánto pueden afectar otros paquetes?

Saludos, Eduardo.

Más información sobre la lista de distribución LACNOG