[LAC-TF] Para pensar: IPv6 RAs, IPv4, y ("evasion" de) VPNs...

Fernando Gont fgont at si6networks.com
Tue Sep 4 12:04:21 BRT 2012


On 09/04/2012 11:50 AM, Luis Carlos Solano wrote:
> Aquí más bien lo que hay que estudiar son las medidas de seguridad
> que hay que tener para las aplicaciones corporativas (por decirlo de
> alguna manera). Es decir: si el usuario ya con la VPN levantada ve
> youtube por fuera de la VPN no es grave a como que de alguna manera
> llegue a sus sistemas por IPv6, por fuera de la VPN.

Correcto. Pero tambien podrian haber cosas estilo MSN, facebook, y
otros, que pese a que "tal vez" (*) no tendrian implicancias
corporativas, podrian ser blancos interesantes.

(*) La cuenta del face podria ser del genrente, arrastrandole el
ala/arrimandole el bochin/tirandole los perros a una empleada/empleado,
o lo que sea... :-)



> Lo que me gustaría es imaginar un escenario de verdadero riesgo,
> quizá podrías ampliar con tu experiencia: tengo un sistema de correo
> electrónico corportativo que sólo puede ser accedido por la "red
> local" y de ahí la existencia de la VPN, de modo que el usuario
> remoto se vea dentro de la red local. En este caso, ¿afectaría este
> ataque?.

Bueno, podría afectar o no dependiendo de:

* El tipo de direccionamiento utilizado en al red local (local vs
global), y,
* La aplicación (o no) de filtros de ingreso.

Es decir, si la red remota de la VPN solo utiliza, por ej., direcciones
IPv6 link-local, o incluso tal vez ULA, entonces, en principio, no
habria problema. Asimismo, si la red remota de la VPN hace filtro de
ingreso de lo que viene por la "conexion comun" (es decir, *no* VPN),
entonces el ataque no funcionaria.

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







More information about the LACTF mailing list