[lacnog] RA-Guard: Advice on the implementation (feedback requested)

Fernando Gont fgont en si6networks.com
Vie Feb 3 08:22:07 BRST 2012 

On 02/03/2012 06:58 AM, Arturo Servin wrote:
> Y defendiendo un poco al RA-Guard no creo que no defienda de nada,
> estoy de acuerdo que no es una herramienta de seguridad que te
> protege al 100% de ataques tipo RA, pero de que sirve, sirve.  

* Respuesta corta: El RA-Guard, en si, no está mal, y puede ser muy
efectivo. El problema es que RA-Guard fue mal especificado por la IETF,
y mal implementado por los fabricantes.


* Respuesta larga:

El problema es que la especificación es (RFC6105), intentando ser
politicamente correctos, muy pobre. -- y el trabajo en el area, otro tanto.

Ejemplo:
Hay dos RFCs sobre el tema: RFC 6104 y RFC 6105.

El RFC 6104 supone ser el "problem statement", y describe a RA-Guard
como un dispositivo para evitar problemas causados por dispositivos
mal-configurados (*no* así maliciosos).

El RFC 6105 viene después, hablando de RA-Guard como una herramienta de
seguridad (es decir, ignora a RFC 6104 completamente). -- lo curioso del
caso es que ambos documentos fueron producidos por el mismo wg de la
IETF, al mismo tiempo. (!)

En cuanto a RFC 6105 en particular, es increible que pase por alto la
evasión de RA-Guard mediante encabezados de extensión, y que, siendo una
especificación de seguridad, la sección "Security Considerations" sea
tan pobre.

Si bien esta situación no es confortable, todos somos humanos, y pasamos
cosas por alto. Lo que verdaderamente considero un error grave es que,
habiendo la IETF publicado dos RFC al respecto, y habiendose encontrado
problemas en las especificaciones y productos, se dé tanta vuelta para
producir soluciones.

Esto incluye, también, el hecho de que basicamente el autor del RFC
original haya implicitamente puesto como condición para apoyar mi I-D
que ponga como co-autor a uno de sus compañeros de trabajo (tal como lo
mencioné oportunamente en la lista del v6ops wg).

En otras palabras, en este momento el desafío para arreglar RA-Guard es
mas político que técnico: conseguir que la gente se involucre en el
v6ops y que apoye la solución propuesta (o bien que vengan con alguna
alternativa).

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG