[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Fernando Gont fgont en si6networks.com
Lun Feb 4 09:05:27 BRST 2013


On 01/31/2013 11:37 AM, Carlos M. Martinez wrote:
> 
> "Bastante bien" para mi significa que en 8-9 años de operar redes con
> IPv6 _nunca_ tuve un ataque por rogue-RA salvo el de Fernando en Cancún
> :-)). 

Aclaración :-) :

Lo de Cancun fue un incidente no planeado. Jordi habia mencionado (?)
que la red del evento usaba RA-Guard, y lo que yo iba a hacer era
justamente evadir RA-Guard.

Sin embargo (por motivos que no recuerdo), antes de hacer eso, terminé
enviando paquetes RA comunes (sin IPv6 extension headers ni
fragmentacion) -- que se suponía que RA-Guard los iba a filtrar.

Conclusión: evidentemente la red no implementaba RA-Guard? :-)


> En el evento de Montevideo (LACNIC 18) el RA-Guard de los WLAN
> controllers filtró unos cuantos eventos de este tipo (rogue-RA) y no
> tuvimos problemas de denegación de servicio en IPv6 de ningún tipo.
> 
> Me consta (las maravillas del logging y de la ingesta de cerveza) ademas
> que Fernando lo estuvo tratando de jorobar, al igual que en Cancún, pero
> con menos éxito :=)

Nop. Lo que yo hice en LACNIC 18 fue analisar la politica de generación
de Frag ID (frag6 --frag-id-policy de
http://www.si6ntworks/tools/ipv6toolkit) de un par de sistemas (si bien
recuerdo, solo quise probar la de otra computadora mia... o, a lo sumo,
la del router local).

Uno de los tests que hace esa herramienta requiere el spoofeo de
direcciones y ahi fue cuando algun control me kickeo del access point.

Pero no probé nada con RA-Guard. De hecho, creo que si uno envia los RAs
fragmentados, para aquellas implementaciones que los aceptan asi es
imposible mitigar el ataque (salvo que corras una implementación de
RA-Guard que implemente draft-ietf-v6ops-ra-guard-implementation ... lo
cual lo dudo :-( ).

P.S.: Lo de Cancun fue por error... de hecho, me parece una boludez
joder con la red de un evento.. No solo porque algun usuario podría
estar usandola para algo copado... sino porque "no da" que los que
operan la red se tengan que comer el garron de "uh! la red no anda!".

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución LACNOG