[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Fernando Gont fgont en si6networks.com
Mie Ene 30 16:59:43 BRST 2013 

On 01/30/2013 02:31 PM, Eduardo Trápani wrote:
> 
> Sí, son los que estaban (estáticos) para ipv4.  De hecho cuando 
> navego IPv6 las consultas de DNS se hacen sobre IPv4.
> 
>> Yo veo en mi red requests v6 por defecto... IIRC, producto de 
>> Windows 7/Vista...  (si, en caso de Linux, te requiere instalar un 
>> paquete aparte.... pero, nuevamente, esto es una tonteria... ya
>> que el paquete deberia venir instalado por defecto, porque si te 
>> conectas a una red v6-only que usa DHCPv6.. que haces?)
> 
> Pero, es un poco fuerte tildarlo de tontería.

Personalmente, el unico motivo por el cual no lo tildaria de "tonteria"
es que al menos para equipos de uso general, nadie depende de v6 hoy en día.

Para ahcer una analogia, imaginate cuan frustrante sería la situación si
para que tu computadora aprenda los DNS en IPv4, tuvieras que instalar
un paquete aparte, ya que sino por default solo obtiene su dirección y
las rutas.


> Por importante que sea IPv6 para alguno de nosotros, la realidad en
> el campo es diferente.  Una red realmente IPv6-only es con suerte
> como un trébol de cuatro hojas.

ja -- sorry por contestar (mas arriba) antes de leer todo el mail --
definitivamente coincidimos en el punto de vista ;-)


> Los paquetes de software por defecto se instalan para la mayoría de
> los casos.  ¿Ya te encontraste con redes de trabajo "ipv6-*only*"?

No usaría tales redes, ya que una de las aplicaciones que mas utilizo es
Skype.


> ¿Que solamente use DHCPv6?

Tampoco seria viable, por el hecho de que en algunas versiones de OSes
directamente no es soportado, y en otras no viene instalado por defecto.


> Tildar de tontería no contemplar esa situación es raro.  Al revés, a
> mí me parece que contemplarla por defecto sería, hoy, osado.

EL unico "caveat" aca es que en muchos casos, la conectividad IPv6 *si*
viene habilitada por defecto 8y eso puede traer problemas -- Rogue RAs
(ya sean maliciosos o producto de Windows Internet Connection Sharing) y
demás yerbas.



> Sobre tu pregunta en sí, ¿qué hago? hago lo mismo que cuando necesito
> usar pppoe y resulta que no está instalado.  Lo instalo (offline si
> es necesario).  Llenar un sistema de demonios por defecto, de nuevas
> tecnologías con problemas de seguridad en investigación ... más que
> tontería para mí es una buena elección.

Aclaro mi opinion de arriba:

"Si te interesa v6 y lo vas a dejar habilitado por defecto, entonces
tendrias que tener soporte para RDNSS y DHCPv6"

Y si, yo soy en general de la idea que "si no lo necesitas, no lo hagas" :-)

Respecto a los problemas de seguridad, a mi no me aterra tanto que los
haya... sino que lo que mas bien me aterra y/o frustra es la negación en
la gente para aceptarlos. Y cierta resistencia en algunos ambitos para
hacer algo al respecto.


>> ... widespread adoption and deployment of the IPv6 protocol. 
>> However, such adoption and deployment should encompass a thorough 
>> understanding of the corresponding security implications.
> 
> Prefiero instalar un par de demonios explícitamente antes la (poco 
> probable) necesidad de conectarme a una red IPV6-only que estar 
> cargando con ellos sin saberlo y estar expuesto, por ejemplo, a que 
> alguien intercepte mi resolución de nombres.

En tal sentido, yo preferia que al menos en las distribuciones actuales,
v6 viniera deshabilitado por defecto (al menos en OSes unix-like).



>> Ejemplo tonto: Usualente cuando viajo apra conferencias, tuneleo 
>> todo (con OpenVPN) a través de una VPN con algun equipo conectado 
>> "en casa" (mia, de algun familiar, etc.)... Eso hace que aquel 
>> trafico "no seguro" pueda salir al menos seguro de la conferencia.
>> 
>> AHora bien, si esos destinos pasan a ser dual-stacked, de golpe 
>> todo ese trafico aparece "in the clear".
> 
> ¡Pero OpenVPN puede manejar IPv6!  Es sólo pasarte a modo "tap" y 
> tener tu ruta por defecto IPv6 sobre esa interfaz 

Hasta la ultima vez que recerdo, openvpn no soportaba IPv6. Lo mismo
aplica al cliente que hay para Android.

O te referis a meter una ruta que mande los paquetes por el tunel, por
mas que del otro lado sean descartados?


> (en tu casa supongo que ya tenés IPv6 :)).

Siendo honesto, en casa no tengo Internet. Voy a algun lugar con
Internet si necesito estar conectado por periodos prolongados, o sino
hago todo off-line y me conecto cada tanto para subir/bajar mail y
demas. -- En mi experiencia personal, el tiempo rinde muchisimo menos
con conectividad permanente. :-(



>> Yo hasta hablé con desarrolladores de openvpn, y la respuesta 
>> basicamente fue "evitar esos ataques es un quilombo". :-) Por ende 
>> lo que terminé haciendo fue deshabilitar v6 cuando sabia que iba a 
>> ir a una conferencia... Y lo cierto es que lo termine dejando así 
>> (es decir, terminé no usando v6 en mi maquina).
> 
> Paaa... (sorprendido)

Pensá en cosas como la siguiente: Una de las cosas que hace OpenVPN para
hacer que todo el trafico vaya por la VPN es volar toda la routing
table, e instalar una ruta para el tunel, o bien instalar rutas mas
especificas (por ej., usar para la ruta por defecto dos rutas:
"o.o.o.o/1" y 128.0.0.0/1", de modo que sean preferidas por sobre la
ruta "0.0.0.0/0").

Si queres aplicar esto a v6, es complicado... Por ejemplo, pensá que
está la "Route Information Option" de los RA... y entonces un atacante
puede instalarte rutas aun mas especificas... Están los ICMPv6 redirect
(esería bueno que hace openvpn con los icmpv4, por cierto :-) ), y demás.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG