[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Eduardo Trápani etrapani en gmail.com
Mie Ene 30 15:31:05 BRST 2013


>> El resolv.conf en cada equipo ya tiene los valores.  
> 
> Asumo que "aprendidos via IPv4"?

Sí, son los que estaban (estáticos) para ipv4.  De hecho cuando navego
IPv6 las consultas de DNS se hacen sobre IPv4.

> Yo veo en mi red requests v6 por defecto... IIRC, producto de Windows
> 7/Vista...  (si, en caso de Linux, te requiere instalar un paquete
> aparte.... pero, nuevamente, esto es una tonteria... ya que el paquete
> deberia venir instalado por defecto, porque si te conectas a una red
> v6-only que usa DHCPv6.. que haces?)

Pero, es un poco fuerte tildarlo de tontería.  Por importante que sea
IPv6 para alguno de nosotros, la realidad en el campo es diferente.  Una
red realmente IPv6-only es con suerte como un trébol de cuatro hojas.
Los paquetes de software por defecto se instalan para la mayoría de los
casos.  ¿Ya te encontraste con redes de trabajo "ipv6-*only*"?  ¿Que
solamente use DHCPv6?  Tildar de tontería no contemplar esa situación es
raro.  Al revés, a mí me parece que contemplarla por defecto sería, hoy,
osado.

Sobre tu pregunta en sí, ¿qué hago? hago lo mismo que cuando necesito
usar pppoe y resulta que no está instalado.  Lo instalo (offline si es
necesario).  Llenar un sistema de demonios por defecto, de nuevas
tecnologías con problemas de seguridad en investigación ... más que
tontería para mí es una buena elección.

Así, el que decide embarcarse en IPv6 lo hace, pero a sabiendas.  Una
vez más, leyendo un artículo de seguridad, me encuentro con que no estoy
tan expuesto, en este caso gracias a la decisión de no incorporar todos
los demonios por defecto.  Como decías en tu artículo:

> ... widespread adoption and deployment of the IPv6 protocol. However, such adoption and deployment should encompass a thorough understanding of the corresponding security implications.

Prefiero instalar un par de demonios explícitamente antes la (poco
probable) necesidad de conectarme a una red IPV6-only que estar cargando
con ellos sin saberlo y estar expuesto, por ejemplo, a que alguien
intercepte mi resolución de nombres.

> Ejemplo tonto: Usualente cuando viajo apra conferencias, tuneleo todo
> (con OpenVPN) a través de una VPN con algun equipo conectado "en casa"
> (mia, de algun familiar, etc.)... Eso hace que aquel trafico "no seguro"
> pueda salir al menos seguro de la conferencia.
> 
> AHora bien, si esos destinos pasan a ser dual-stacked, de golpe todo ese
> trafico aparece "in the clear".

¡Pero OpenVPN puede manejar IPv6!  Es sólo pasarte a modo "tap" y tener
tu ruta por defecto IPv6 sobre esa interfaz (en tu casa supongo que ya
tenés IPv6 :)).

> Yo hasta hablé con desarrolladores de openvpn, y la respuesta
> basicamente fue "evitar esos ataques es un quilombo". :-) Por ende lo
> que terminé haciendo fue deshabilitar v6 cuando sabia que iba a ir a una
> conferencia... Y lo cierto es que lo termine dejando así (es decir,
> terminé no usando v6 en mi maquina).

Paaa... (sorprendido)

Saludos.



Más información sobre la lista de distribución LACNOG