[LAC-TF] Nuevos IETF I-Ds sobre seguridad IPv6
Fernando Gont
fgont at si6networks.com
Thu Dec 15 14:08:39 BRST 2011
Estimados,
Hemos publicado una serie de IETF Internet-Drafts sobre seguridad IPv6.
Resumo los I-Ds (hay para todos los gustos):
* "A method for Generating Stable Privacy-Enhanced Addresses with IPv6
Stateless Address Autoconfiguration (SLAAC)". Disponible en
<http://tools.ietf.org/id/draft-gont-6man-stable-privacy-addresses-00.txt>.
Este I-D propone una metodo para la generación de direcciones IPv6
cuando se utiliza SLAAC de modo que sean estables, pero no afecten la
privacidad de los usuarios. Bottom-line: reemplazar el metodo actual que
utiliza IIDs basados en identificadores del IEEE.
* "Managing the Address Generation Policy for Stateless Address
Autoconfiguration in IPv6". Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-managing-slaac-policy-00.txt>
Este I-D propone un mecanismo para que los routers puedan incluir
información sobre la política de generación de direcciones. En la
actualidad esto no es posible, y termina resultando en una anarquia que
no permite que la politica de seleccion de direcciones sea homogenea.
* "Security Implications of Predictable Fragment
Identification Values". Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-predictable-fragment-id-00.txt>
Este I-D discute las implicancias de seguridad de utilizar valores para
el Fragment Identification predecibles. Algunos fabricantes ya
parchearon en respuesta a este trabajo. Ver e.g.
<http://www.redhat.com/security/data/cve/CVE-2011-2699.html>
* 'Processing of IPv6 "atomic" fragments'. Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-ipv6-atomic-fragments-00.txt>
Este I-D propone un cambio en los estandares correspondientes para
evitar que las vulnerabilidades descriptas en el I-D anterior puedan ser
explotadas contra trafico que actualmente no es fragmentado.
* "Security Implications of IPv6 options of Type 10xxxxxx". Disponible
en: <http://tools.ietf.org/id/draft-gont-6man-ipv6-smurf-amplifier-00.txt>.
Este I-D describe el uso de unas opciones IPv6 como amplificadores
smurf, y proopne una modificación en el standard correspondiente para
eliminar este vector de ataque.
Cualquier comentario será mas que bienvenido.
Saludos, y gracias!
--
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
More information about the LACTF
mailing list