[lacnog] Fwd: RA-Guard: Advice on the implementation (feedback requested)

Fernando Gont fgont en si6networks.com
Vie Feb 3 00:23:26 BRST 2012 

On 02/02/2012 02:32 PM, Eduardo Trápani wrote:
>>> Así como lo leo el bloqueo parece aplicarse a todo el tráfico, es
>>> decir, ¿que pasa si no había RA pero sí una cantidad excesiva de
>>> encabezados extendidos?  También voy a bloquear el paquete en mi
>>> intento de identificar el RA, ¿no?  
>>
>> Si. Esto es para evitar posibles ataques de DoS, en lso que el atacante
>> podria enviar con una cantidad ridiculamente alta de Extension headers.
> 
> Sí, a lo que voy es que esa protección no es específica de RA-Guard (el
> tema del documento).  De repente podría ir en un documento más general.

Hay una diferencia crucial entre RA-Guard y el caso "general": en el
caso general, el filtrado se realiza en capa 3. En el caso de RA-Guard,
el filtrado se realiza en capa 2.

En general, si a uno le preocupan cosas como "overlaping fragments" y
demas, siempre podes optar por "reensamblar, y luego reenviar". SIn
embargo, en capa 2 esto no es posible.



>  No sé, hay algo del "scope" que me suena raro.  Como que una buena idea
> podría pasar desapercibida.  Pero en algún lado tiene que estar.

Hay otra cuestión, no técnica, sino mas bien politica:

* El documento en cuestión ataca un problema concreto, de un dispositivo
concreto. Si uno tuviera que hacer un I-D sobre firewalls, la longitud
seria al menos 10x la de este documento, y el tiempo de publicacion al
menos 2x.

* Hay mucha gente asumiendo protección mediante RA-Guard, cuando en
realidad no los protege de nada. Este documento concientiza sobre el
tema, y especifica como implementar RA-Guard (en particular)



> ¿Nadie más está sugiriendo dejar caer esos paquetes en otros documentos?

No.



>> Espero que lo de arriba responda un poco... En sisntesis, siempre puede
>> imaginar uno algun paquete que pueda sufrir por alguna politica de
>> filtrado. La idea es minimizar esos casos, y especialmente en los casos
>> practicos.
> 
> Sí, tu mensaje me respondió.  Y lo de la practicidad es para tener en
> cuenta, no lo había pensado tanto.  Hay usos teóricos que supongo que no
> vale la pena proteger, sobre todo si son utilizados para atacar de
> manera práctica.

El problema es la cuestion de complejidad. A veces se termina teniendo
software demasiado complejo, por usos meramente teóricos, que en la
práctica no existen.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG