[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Eduardo Trápani etrapani en gmail.com
Jue Ene 31 11:56:29 BRST 2013


> EL unico "caveat" aca es que en muchos casos, la conectividad IPv6 *si*
> viene habilitada por defecto 8y eso puede traer problemas -- Rogue RAs
> (ya sean maliciosos o producto de Windows Internet Connection Sharing) y
> demás yerbas.

Sí, cierto.

> Respecto a los problemas de seguridad, a mi no me aterra tanto que los
> haya... sino que lo que mas bien me aterra y/o frustra es la negación en
> la gente para aceptarlos. Y cierta resistencia en algunos ambitos para
> hacer algo al respecto.

Tal cual.  Luego de detallar problemas posibles en migración ipv6 yo
recibí una respuesta que más o menos decía que esos problemas había que
verlos como oportunidades.  Todavía hay gente hablando de RA-Guard como
si fuera una solución, aún sabiendo la situación actual de las
implementaciones y desestimando preocupaciones legítimas.

Supongo que lo hacen un poco con el espíritu de la experiencia
compartida por los sudafricanos en otro hilo: algo como "ponemos IPv6 y
después los problemas los vamos viendo mientras aparecen ..."  La idea
es migrar ya, probar que se puede, aumentar la base de usuarios y el
tráfico.  Yo creo que no quieren mencionar los problemas (o los niegan
directamente) para no frenar la adopción, que parece ser más importante
que la inseguridad generada.

> En tal sentido, yo preferia que al menos en las distribuciones actuales,
> v6 viniera deshabilitado por defecto (al menos en OSes unix-like).

Sí, pensándolo bien, tenés razón.  Si lo querés lo ponés lo ponés entero
y si no, no lo tenés y listo.  Ahora te ponen lo justo para que (si ni
sabés que tenés IPv6) te ataquen con RA y ni lo sepas.

> Hasta la ultima vez que recerdo, openvpn no soportaba IPv6. Lo mismo
> aplica al cliente que hay para Android.
> 
> O te referis a meter una ruta que mande los paquetes por el tunel, por
> mas que del otro lado sean descartados?

El tema es así: con dispositivos "tun" encapsulás paquetes IP.  Ahí
precisás soportar IPv4 e IPv6 por separado, entender cada paquete.  Pero
con "tap" encapsulás la trama Ethernet, ya no sabés qué llevás.  Ahí
podés usar OpenVPN para AppleTalk o IPX si querés, o IPv6.

> demas. -- En mi experiencia personal, el tiempo rinde muchisimo menos
> con conectividad permanente. :-(

Sí ... para mí es igual.

> Pensá en cosas como la siguiente: Una de las cosas que hace OpenVPN para
> hacer que todo el trafico vaya por la VPN es volar toda la routing
> table, e instalar una ruta para el tunel, o bien instalar rutas mas
> especificas (por ej., usar para la ruta por defecto dos rutas:
> "o.o.o.o/1" y 128.0.0.0/1", de modo que sean preferidas por sobre la
> ruta "0.0.0.0/0").

Sí.

> Si queres aplicar esto a v6, es complicado... Por ejemplo, pensá que
> está la "Route Information Option" de los RA... y entonces un atacante
> puede instalarte rutas aun mas especificas... Están los ICMPv6 redirect
> (esería bueno que hace openvpn con los icmpv4, por cierto :-) ), y demás.

Es que te volvés protocol-agnostic.  Al encapsular tráfico ethernet, ya
no importa qué protocolo usás.  Nadie te va a inyectar un RA sobre el
túnel cifrado de OpenVPN.  No tienen como agregarte rutas, ya que esa
interfaz, la tap, es la única recibiendo tramas ethernet que contienen
paquetes IPv6.

Se puede, anda y entiendo que es seguro (sólo precisás habilitar IPv6 en
la interfaz tap, no en las otras).[1][2][...]

Eduardo.

[1]
http://serverfault.com/questions/237851/how-can-i-setup-openvpn-with-ipv4-and-ipv6-using-a-tap-device
[2] http://silmor.de/ipv6.openvpn.php



Más información sobre la lista de distribución LACNOG