[LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?

Raul Sanjur rsanjur at ancon.up.ac.pa
Tue Sep 7 12:31:25 BRT 2010 

Hola!
He estado siguiéndoles en sus intervenciones sin poder aportar pues estoy
como un bebe, gateando en la transición de IPv4 to IPv6.

Citando el siguiente el párrafo:

Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
tiene conocimiento "casi cero" de los estandares y del protocolo en
profundidad, asi como de las consecuencias de no usar las herramientas que
IPv6 proporciona de forma adecuada.

Les solicito me instruyan el sitio donde puedo encontrar material didáctico
de los estandares del protocolo IPv6 y cuales son las herramientas que IPv6
proporciona para crear una red segura.

Mientras tanto, seguiré monitoreando sus aportaciones,

Saludos desde ciudad de Panamá


Raúl Sanjur
Universidad de Panamá

-----Mensaje original-----
De: lactf-bounces at lacnic.net [mailto:lactf-bounces at lacnic.net] En nombre de
Fernando Gont
Enviado el: martes, 07 de septiembre de 2010 9:44
Para: lactf at lac.ipv6tf.org
CC: Latin America and Caribbean Region Network Operators Group;
seguridad at lacnic.net
Asunto: Re: [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse
scan, is this the start for more?

Hola, Jordi,

> Windows Vista y 7 utilizan tambien un nuevo tipo de direcciones, que no
son
> de privacidad, pero no dependen de la Mac. Eso implica que la busqueda se
> hace mas dificil y no es posible basarse en el OUI.

Hasta donde recuerdo haber chequeado, Vista configura direcciones de
privacidad, pero *también* configura direcciones comunes. Lo cual quiere
decir que si bien no se utilizan para conexiones salientes, *si* se las
puede utilizar para escanear.



> Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
> tiene conocimiento "casi cero" de los estandares y del protocolo en
> profundidad, asi como de las consecuencias de no usar las herramientas que
> IPv6 proporciona de forma adecuada. 

Si, pero existen los dos extremos: el desconocimiento de las
herramientas que IPv6 proporciona por un lado, y la negación de las
implicancias de seguridad por el otro.

En el primer caso posiblemente sea falta de conocimiento. En el segundo
al menos es falta de objetividad.



> Igualmente, muchas empresas lo estan
> desplegando sin formar adecuadamente a sus ingenieros ...

Coincido en este punto.



> Las aplicaciones de las que hablas, precisamente, solo desvelarian
> direcciones de privacidad, y estas son cambiantes (se pueden configurar
para
> que cambien incluso cada pocos minutos si se requiere, aunque creo que no
es
> necesario), asi que un ataque no podria tener lugar, dado que aun en el
caso
> de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),
> NO existiria ya esa direccion.

La ventana de exposición sería menor (duraria menos tiempo), pero no por
ello inexistente.

Si tengo un 0-day que me permite ganar acceso de administrador en por
ej. un sistema Vista, con tal de que pueda encontrar dicho sistema y
accederlo durante un minuto, listo. No me hace falta que su direccion
sea estable por diez años para ganar acceso al mismo.



> Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento
> del resto de la LAN parece trivial dado que un ping multicast a todos los
> nodos los revela, SALVO, que como por defecto en muchas plataformas, estas
> tengan firewall activado por defecto. 

Ahi muchisimos otros vectores para escanear. Por ejemplo MLDv2 queries,
etc. Salvo que estén *todos* deshabilitados, el escaneo es posible.



> Sigo pensando que aunque se logren mejoran y dar inteligencia a las
tecnicas
> de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun
> cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),
> no seran suficientes para lograr ataques que fructifiquen ni siquiera en
una
> proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.

Personalmente creo que, si uno compara escaneo en IPv6 vs. en IPv4 por
*fuerza* *bruta*, obviamente es mas facil el escaneo en IPv4.

Pero cambiando la metodologia de escaneo, creo que la situación cambia
completamente, y los escaneos en IPv6 se hacen muy viables.



> Creo que es importante leer todo el thread en NANOG para ver detalles que
> otros, como Owen de HE, han comentado y que justifican claramente lo que
> estoy diciendo.

Ver tambien, las de Joel Jaeggli y las de Roland Dobbins, que justifican
parte de mi punto de vista. -- de cualquier modo, hay que tener en
cuenta que existen muy pocas herramientas de ataque publicamente
disponibles... y que las que existen son muy basicas. Por eso, todavia
queda *mucho* por verse (o, dicho de otro modo, todavía no hemos visto
nada).

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando at gont.com.ar || fgont at acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1




_______________________________________________
LACTF mailing list
LACTF at lacnic.net
https://mail.lacnic.net/mailman/listinfo/lactf
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20100907/d9a09796/attachment.html>

More information about the LACTF mailing list