[lacnog] [LACNIC/Seguridad] Linux IPv6 "Route of Death" 0day (by Max VA (@maxpl0it))
Fernando Gont
fgont en si6networks.com
Vie Mayo 26 12:29:12 -03 2023
Oi, Henri,
On 26/5/23 13:38, Henri Alves de Godoy wrote:
> Hola Fernando,
>
> O assunto sobre o EHs foi bem discutido na lista do v6ops. Una pregunta,
> existe alguma maneira prática de descobrir quem está bloqueando EHs ao
> longo da sua rede ?
Softwware: https://www.si6networks.com/research/tools/ipv6toolkit/
Tools:
* path6
* blackhole6
("man path6", "man blakchole6").
Docu extra:
*
https://troopers.de/media/filer_public/ae/b0/aeb0908c-3c95-4f17-81c4-3ccf3fe0803d/fgont-troopers2016-network-reconnaissance.pdf
*
https://insinuator.net/2015/04/si6-networks-ipv6-toolkit-v2-0-guille-released-at-the-troopers-ipv6-security-summit/
Mediciones:
* https://www.rfc-editor.org/rfc/rfc7872.html
Rationale:
* https://www.rfc-editor.org/rfc/rfc9098.html
> Esse bloqueio tem vindo como padrão na rede e
> dispositivos já pré configurados ?
Nao lembro. Mais eu configuro explicitamente el bloqueio.
> Utilizando o ip6tables, como seria um exemplo prático de bloqueio ?
# Block packets with extension headers
ip6tables -A IPV6_RULES -m ipv6header --header auth --soft -j DROP
ip6tables -A IPV6_RULES -m ipv6header --header esp --soft -j DROP
ip6tables -A IPV6_RULES -m ipv6header --header dst --soft -j DROP
ip6tables -A IPV6_RULES -m ipv6header --header route --soft -j DROP
ip6tables -A IPV6_RULES -m ipv6header --header hop --soft -j DROP
ip6tables -A IPV6_RULES -m ipv6header --header frag --soft ! -p udp -j DROP
Nota:
s/IPV6_RULES/INPUT/ si de seas. En el caso de arriba, solo permito
Fragmentacion para UDP.
Saludos!
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494
Más información sobre la lista de distribución LACNOG