[lacnog] IPv6 únicamente estático - ¿se puede?

[Eduardo Trápani]

Hola,

Teniendo en cuenta los ataques que se han ido mencionando, me gustaría
que todo lo de IPv6 fuera estático *y* que no hubiera posibilidad para
un atacante de modificar esos valores con ataques vía RA.

¿Se puede hacer algo así en Mac y los últimos Windows?  ¿Tener solamente
información estática para conectividad IPv6?  ¿O me tengo que resignar a
que un atacante me agregue direcciones, rutas, DNS ... vía RA y/o DHCPv6?

Estoy pensando en un equipo como el que mencionaba Fernando en otro
mensaje, un equipo que va a lugares donde no tenemos idea de si hay un
L2 bloqueando RA o no.

En Linux se puede.  Encontré esto[1] (en este caso tampoco estarían
instalados rdnss o dhcpv6-client).

iface eth0 inet6 static
	address <system_ipv6_addr>
	netmask 64
	gateway <rtr_ipv6_addr>
	# disable IPv6 address auto-configuration
	pre-up /sbin/sysctl -w net.ipv6.conf.eth0.autoconf=0
	# disable IPv6 acceptance of default router in RA
	pre-up /sbin/sysctl -w net.ipv6.conf.eth0.accept_ra_defrtr=0
	dns-nameservers <dns_ipv6_addr_1> <dns_ipv6_addr_2>
	dns-options edns0


Está muy bueno que IPv6 permita automatizar todo, pero no estoy seguro
de si está contemplada la situación en que uno *sí* sabe los valores que
tengo que tener y *no* quiere que cambien.  Al menos en Mac/Windows.

Saludos, Eduardo.

[1] http://lists.debian.org/debian-ipv6/2010/12/msg00004.html