[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Carlos M. martinez carlosm3011 en gmail.com
Lun Feb 4 13:01:23 BRST 2013 

Aclaración por parte mía: Se que lo de Cancún fue un error :-) ¡No fue
mi intención decir otra cosa!

Ademas, sirvió para ver que, sorprendentemente para algunos, la gente
_si_ usa IPv6, porque cuando dejó de funcionar la gente se empezó a quejar.

s2

Carlos

On 2/4/13 9:05 AM, Fernando Gont wrote:
> On 01/31/2013 11:37 AM, Carlos M. Martinez wrote:
>> "Bastante bien" para mi significa que en 8-9 años de operar redes con
>> IPv6 _nunca_ tuve un ataque por rogue-RA salvo el de Fernando en Cancún
>> :-)). 
> Aclaración :-) :
>
> Lo de Cancun fue un incidente no planeado. Jordi habia mencionado (?)
> que la red del evento usaba RA-Guard, y lo que yo iba a hacer era
> justamente evadir RA-Guard.
>
> Sin embargo (por motivos que no recuerdo), antes de hacer eso, terminé
> enviando paquetes RA comunes (sin IPv6 extension headers ni
> fragmentacion) -- que se suponía que RA-Guard los iba a filtrar.
>
> Conclusión: evidentemente la red no implementaba RA-Guard? :-)
>
>
>> En el evento de Montevideo (LACNIC 18) el RA-Guard de los WLAN
>> controllers filtró unos cuantos eventos de este tipo (rogue-RA) y no
>> tuvimos problemas de denegación de servicio en IPv6 de ningún tipo.
>>
>> Me consta (las maravillas del logging y de la ingesta de cerveza) ademas
>> que Fernando lo estuvo tratando de jorobar, al igual que en Cancún, pero
>> con menos éxito :=)
> Nop. Lo que yo hice en LACNIC 18 fue analisar la politica de generación
> de Frag ID (frag6 --frag-id-policy de
> http://www.si6ntworks/tools/ipv6toolkit) de un par de sistemas (si bien
> recuerdo, solo quise probar la de otra computadora mia... o, a lo sumo,
> la del router local).
>
> Uno de los tests que hace esa herramienta requiere el spoofeo de
> direcciones y ahi fue cuando algun control me kickeo del access point.
>
> Pero no probé nada con RA-Guard. De hecho, creo que si uno envia los RAs
> fragmentados, para aquellas implementaciones que los aceptan asi es
> imposible mitigar el ataque (salvo que corras una implementación de
> RA-Guard que implemente draft-ietf-v6ops-ra-guard-implementation ... lo
> cual lo dudo :-( ).
>
> P.S.: Lo de Cancun fue por error... de hecho, me parece una boludez
> joder con la red de un evento.. No solo porque algun usuario podría
> estar usandola para algo copado... sino porque "no da" que los que
> operan la red se tengan que comer el garron de "uh! la red no anda!".
>
> Un abrazo,

Más información sobre la lista de distribución LACNOG