[LAC-TF] [LACNIC/Seguridad] IPv6 host scanning in IPv6

Arturo Servin aservin at lacnic.net
Fri Apr 20 11:55:37 BRT 2012 

Fernando,

Pregunta

	Sección 3.1.2

	Es claro que aunque uses direcciones privadas, las direcciones SLAAC responden a scan locales, pero también a remotos?

	Comentarios:

Sección 3.3

	Recibiste un comentario en NANOG, opino igual que deberías mencionar que direcciones manuales con patrones "wordy" pueden llevarte también a ataques de diccionario. Incluso que puede ser incluso mucho más fácil.

Sección 4.

	Si necesitas datos igual algunos de nosotros pudiera obtener algunos datos más recientes. No es necesario darte los datos crudos, con un análisis local creo que pudiera ayudar.

Sección 6.

	Agregaría emplear direcciones manuales con patrones random usando alguna función (parecido a lo que propones en tu otro draft, pero que manualmente el administrador de la red lo haga). 

Saludos,
as


	
On 20 Apr 2012, at 03:21, Fernando Gont wrote:

> Estimados,
> 
> Acabo de publicar un drafty draft ;-) sobre IPv6 host scanning.
> 
> El mismo se encuentra disponible en:
> <http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt>
> 
> El abstract del mismo dice:
> ---- cut here ----
>   IPv6 offers a much larger address space than that of its IPv4
>   counterpart.  The standard /64 IPv6 subnets can (in theory)
>   accommodate approximately 1.844 * 10^19 hosts, thus resulting in a
>   much lower host density (#hosts/#addresses) than their IPv4
>   counterparts.  As a result, it is widely assumed that it would take a
>   tremendous effort to perform host scanning attacks against IPv6
>   networks, and therefore IPv6 host scanning attacks have long been
>   considered unfeasible.  This document analyzes the IPv6 address
>   configuration policies implemented in most popular IPv6 stacks, and
>   identifies a number of patterns in the resulting addresses lead to a
>   tremendous reduction in the host address search space, thus
>   dismantling the myth that IPv6 host scanning attacks are unfeasible.
> ---- cut here ----
> 
> Cualquier comentario será mas que bienvenido.
> 
> 
> FWIW, la solución al problema de host-scanning "tradicional" es, IMO:
> 
> [I-D.gont-6man-stable-privacy-addresses]
>           Gont, F., "A method for Generating Stable Privacy-Enhanced
>           Addresses with IPv6 Stateless Address Autoconfiguration
>           (SLAAC)", draft-gont-6man-stable-privacy-addresses-01
>           (work in progress), March 2012
> 
> 
> Saludos cordiales, y gracias!
> -- 
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> _______________________________________________
> LACTF mailing list
> lactf at lac.ipv6tf.org
> https://mail.lacnic.net/mailman/listinfo/lactf

More information about the LACTF mailing list