[LAC-TF] [LACNIC/Seguridad] Entrevista a Bob Hinden sobre Seguridad IPv6

Jorge Villa villa at reduniv.edu.cu
Mon Feb 27 12:09:43 BRT 2012 

Fernando, como estas?

En efecto, tal como planteas, es bastante mas simple el asunto a partir de 
conocer como se construyen los ultimos 64 bits del campo de direcciones IPv6 
a partir del EUI-64. Lo que sucede es que la inteligencia del ataque es lo 
que tiende a cambiar; porque no tiene sentido pretender barrer los 128 bits 
del espacio de direcciones; pero si conocemos el bloque /64 de la red  (por 
cualquier via, digase por medio de DNS, encabezados de mail, etc), el ataque 
es basicamente el que estas pronosticando. Si adicionalmente, se tiene idea 
de las tecnologias (fabricantes y modelos) que emplean en la red que se 
quiere atacar, se vuelve a simplificar el ataque, porque es facil conocer a 
partir del sitio de soporte del fabricante, cuales son las interfases de red 
que tienen dichos equipos.

Adicionalmente, como el espacio de direcciones que se asigna a usuarios 
finales es /48 (RFC 3177) o /56 (RFC6177) y esta informacion se publica en 
las bases de datos de los RIRs, entonces el ataque de fuerza bruta es de 8 o 
16 bits en el area de numeracion de redes, empleandolas en combinacion con 
esas variantes que comentas en el campo de numeracion de hosts. En muchos 
escenarios, las organizaciones buscan no emplear extensiones de privacidad 
(buscando mecanismos de control sobre el origen del trafico); sin embargo no 
usar estas extensiones hace mas vulnerable la red a estos escaneos por 
fuerza bruta. Me gustaria si presentas el tema en el Foro, intentar 
encontrar una solucion de compromiso, que pueda ilustrar mejor a la 
comunidad en estas practicas.

Saludos,
Jorge

----- Original Message ----- 
From: "Fernando Gont" <fgont at si6networks.com>
To: "Lista para discusion de seguridad en redes y sistemas informaticos de 
laregion" <seguridad at lacnic.net>
Cc: <lactf at lac.ipv6tf.org>; ""Lista para discusión de seguridad en redes y 
sistemas in"@mail.lacnic.net" 
<"=?ISO-8859-1?Q?Lista_para_discusi=F3n_de_seguridad_en_redes_y_sistemas_in?="@mail.lacnic.net>
Sent: Sunday, February 26, 2012 7:38 PM
Subject: Re: [LAC-TF] [LACNIC/Seguridad] Entrevista a Bob Hinden sobre 
Seguridad IPv6


> On 02/26/2012 01:42 AM, Alejandro Acosta wrote:
>>> En lo personal, tengo una visión algo distinta sobre la última
>>> pregunta (*parte* de mi argumento estando descripto en
>>> <http://searchsecurity.techtarget.com/tip/IPv6-myths-Debunking-misconceptions-regarding-IPv6-security-features>...)
>>
>> Casualmente tu vision distinta de la ultima pregunta, es tu ultimo
>> mito de ese articulo.
>> Aprovecho para preguntar: Entiendo que en IPv4 el network scan es con
>> fuerza bruta, en tu articulo indicas que ya no sera asi para IPv6.
>
> Exacto.
>
>
>> Cito:
>>
>> " that attackers are not performing IPv6 address scans with a
>> brute-force approach, but rather they are trying to improve their
>> scans by taking advantage of these known patterns of IPv6 address
>> assignments."
>>
>> A que patrones te refieres?
>
> Hay muchos (y Dios y Comité ;-) mediante pronto podré presentar algo mas
> detallado), pero, a modo de ejemplo, pensá en lo siguiente:
>
> Los Interface-IDs basados en Modified EUI-64 forma identifiers (es
> decir, en la MAC address) tienen:
>
> 1) Dos byets que siempre son fijos (el word 0xfffe)
> 2) 3 bytes que son el OUI del fabricante de la placa de red.. y si uno
> conoce (o puede adivinar) el fabricante (lo cual es muy viable en muchos
> casos), entonces tambien puede dar estos 3 bytes conocidos.
>
> COmo resultado, el "search space" original de 64-bits pasa hacer de
> 24-bits (3 bytes), en cuyo caso *si* es viable ahora hacer un ataque por
> "fuerza bruta".
>
> Un abrazo,
> -- 
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
> _______________________________________________
> LACTF mailing list
> lactf at lac.ipv6tf.org
> https://mail.lacnic.net/mailman/listinfo/lactf
>
> Participe en Universidad 2012, del 13 al 17 de febrero de 2012. Habana. 
> Cuba. http://www.congresouniversidad.cu
> Consulte la enciclopedia colaborativa cubana. http://www.ecured.cu
>
> 


Participe en Universidad 2012, del 13 al 17 de febrero de 2012. Habana. Cuba. http://www.congresouniversidad.cu
Consulte la enciclopedia colaborativa cubana. http://www.ecured.cu

More information about the LACTF mailing list