[LAC-TF] IPv6 host scanning in IPv6

Luis Carlos Solano lsolano at racsa.co.cr
Fri Apr 20 14:20:05 BRT 2012


Fernando:

Siempre más que interesante tu trabajo. Opino poco (más bien casi nada), 
pero soy un lector silencioso, sobre todo de la discusión de 
I-D.gont-6man-stable-privacy-addresses.

Con respecto a este draft:

i. Increíble a lo que puede reducirse la asignación de IIDs y por ende, 
lo fácil que podrían adivinarse (caso VMWare ESX).

ii. El contexto de este borrador está enfocado más en host de usuarios 
finales? Es decir, la idea del draf está es proteger las redes internas?
Como bien se discute creo que en enrutadores, por adminitración, siempre 
terminaremos poniendo algo fácil de ver, además que las topologías de 
core de red creo que siempre se podrán deducir fácilmente con cosas 
simples como trazas de rutas. Luego, servidores públicos, por razones 
obvias, muestran sus direcciones v6.

iii. Leo entre líneas, un mensaje importante, me corriges: sería genial 
tener un mecanismo de asignación de IIDs que 'desmotive' los host scans, 
como lo que mencionaste de nmap. Es eso parte del espíritu de este 
draft? Yo lo vería muy positivo, como establecer algo en v6 que haga 
pensar a un posbile 'hacker', "el host scan ni pensar hacerlo, total, no 
servirá de nada".

Saludos!

--
Luis Carlos Solano.

On 4/20/12 12:21 AM, Fernando Gont wrote:
> Estimados,
>
> Acabo de publicar un drafty draft ;-) sobre IPv6 host scanning.
>
> El mismo se encuentra disponible en:
> <http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt>
>
> El abstract del mismo dice:
> ---- cut here ----
>     IPv6 offers a much larger address space than that of its IPv4
>     counterpart.  The standard /64 IPv6 subnets can (in theory)
>     accommodate approximately 1.844 * 10^19 hosts, thus resulting in a
>     much lower host density (#hosts/#addresses) than their IPv4
>     counterparts.  As a result, it is widely assumed that it would take a
>     tremendous effort to perform host scanning attacks against IPv6
>     networks, and therefore IPv6 host scanning attacks have long been
>     considered unfeasible.  This document analyzes the IPv6 address
>     configuration policies implemented in most popular IPv6 stacks, and
>     identifies a number of patterns in the resulting addresses lead to a
>     tremendous reduction in the host address search space, thus
>     dismantling the myth that IPv6 host scanning attacks are unfeasible.
> ---- cut here ----
>
> Cualquier comentario será mas que bienvenido.
>
>
> FWIW, la solución al problema de host-scanning "tradicional" es, IMO:
>
> [I-D.gont-6man-stable-privacy-addresses]
>             Gont, F., "A method for Generating Stable Privacy-Enhanced
>             Addresses with IPv6 Stateless Address Autoconfiguration
>             (SLAAC)", draft-gont-6man-stable-privacy-addresses-01
>             (work in progress), March 2012
>
>
> Saludos cordiales, y gracias!


-- 
Luis Carlos




More information about the LACTF mailing list