[LAC-TF] [LACNIC/Seguridad] Para pensar: IPv6 RAs, IPv4, y ("evasion" de) VPNs...
Fernando Gont
fernando at gont.com.ar
Wed Sep 5 14:37:02 BRT 2012
On 09/05/2012 11:32 AM, Arturo Servin wrote:
>> DHCP es request response -- si no enviaste un dhcp-request, entonces no
>> vas a procesar el dhcp-response/offer -- o sea, el ataque no funciona en
>> este caso.
>
> Y cuantos usuarios deshabilitan el DHCP cuando llegan al hotel?
Es otro escenario distinto. No por ello mejor, peor, ni nada de eso.
>>> Además de deshabilitar el stack que no usas o autenticar tu
>>> first-hop, no se que otra forma efectiva existe de mitigar estos
>>> ataques.
>>
>> La mitigatcion es simple: que si tenés una VPN activa, los paquetes van
>> por al VPN, o no van por ningun lado.
>
> Entonces en v4 es igual si la VPN esta activa y este thread es irrelevante.
:-)
Seria irrelevante si fuera comun que las VPNs proveyeran acceso v6-only
-- lo cual no es cierto.
Por el contrario, es super comun VPNs que proveen acceso v4-only.
Asimismo, la adicion de soporte IPv6 es algo nuevo en muchas redes,
mientras que IPv6 apareció un mundo en el que ya existia IPv4 -- el
"bicho nuevo" es v6, no v4.
De cualquier caso, el bottom-line del thread no es "IPv6? Terror!", ni
"Quien es mejor peor/de los dos" (lo cual es, si, en cierta manera
irrelevante). Sino mas bien generar consciencia de cosas que pueden suceder.
Un abrazo,
--
Fernando Gont
e-mail: fernando at gont.com.ar || fgont at si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
More information about the LACTF
mailing list