[LAC-TF] [LACNIC/Seguridad] Para pensar: IPv6 RAs, IPv4, y ("evasion" de) VPNs...

Arturo Servin aservin at lacnic.net
Wed Sep 5 14:44:38 BRT 2012


	Digo que es irrelevante por lo que tu mismo dijiste:

"La mitigatcion es simple: que si tenés una VPN activa, los paquetes van
por al VPN, o no van por ningun lado."

	Si es asi no hay caso para v6 ni para v4.

	O hay diferencia?

Slds
as


On 5 Sep 2012, at 18:37, Fernando Gont wrote:

> On 09/05/2012 11:32 AM, Arturo Servin wrote:
>>> DHCP es request response -- si no enviaste un dhcp-request, entonces no
>>> vas a procesar el dhcp-response/offer -- o sea, el ataque no funciona en
>>> este caso.
>> 
>> 	Y cuantos usuarios deshabilitan el DHCP cuando llegan al hotel?
> 
> Es otro escenario distinto. No por ello mejor, peor, ni nada de eso.
> 
> 
> 
>>>> Además de deshabilitar el stack que no usas o autenticar tu
>>>> first-hop, no se que otra forma efectiva existe de mitigar estos
>>>> ataques.
>>> 
>>> La mitigatcion es simple: que si tenés una VPN activa, los paquetes van
>>> por al VPN, o no van por ningun lado.
>> 
>> 	Entonces en v4 es igual si la VPN esta activa y este thread es irrelevante.
> 
> :-)
> 
> Seria irrelevante si fuera comun que las VPNs proveyeran acceso v6-only
> -- lo cual no es cierto.
> 
> Por el contrario, es super comun VPNs que proveen acceso v4-only.
> 
> Asimismo, la adicion de soporte IPv6 es algo nuevo en muchas redes,
> mientras que IPv6 apareció un mundo en el que ya existia IPv4 -- el
> "bicho nuevo" es v6, no v4.
> 
> De cualquier caso, el bottom-line del thread no es "IPv6? Terror!", ni
> "Quien es mejor peor/de los dos" (lo cual es, si, en cierta manera
> irrelevante). Sino mas bien generar consciencia de cosas que pueden suceder.
> 
> Un abrazo,
> -- 
> Fernando Gont
> e-mail: fernando at gont.com.ar || fgont at si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 




More information about the LACTF mailing list