[LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Antonio M. Moreiras moreiras at nic.br
Tue Aug 6 19:12:30 BRT 2013


Gont. No hay como contra argumentar con usted. Pero, ante la realidad,
cuál sería su recomendación? Bloquee todo trafego IPv6, y parar todo
despliegue, hasta que los principales vendors que ofrecen RA puedan
solucionar el problema? Usar algo como ndpmon? Otra?

En tus emails, algunas veces parece que usted considera que no hay
medidas de seguridad *suficientes* para algunos tipos de despliegue en
la actualidad. Es verdad?

Cuáles serían las recomendaciones de seguridad *posibles* para una red
corporativa que esta empezando el despliegue de IPv6 hoy? Hay algun BCP,
articulo, ó otro documento conciso donde podemos encontrar una lista con
recomendaciones posibles (aparte de posponer el despliegue)?

[]s
Moreiras.

On 05/08/13 17:03, Fernando Gont wrote:
> Hola, Ivan,
> 
> On 08/05/2013 03:08 PM, Iván Arce wrote:
>> La nota hace referencia a los autores de este blog post y los identifica
>> como investigadores de Neohapsis.
> 
> No habia visto el nombre de los dos flacos en el articulo original
> (probablemente porque lo lei rápido, supongo). De todos modos, habiendo
> leido el blog, la situación es aun mas frustrante. (ver mas abajo).
> 
> 
>> Ellos a su vez hacen referencia a una charla de DEFCON y una herramienta
>> que se supone que publicarón el viernes pasado (no puedo confirmarlo
>> porque no estuve ahí y no encontre ninguna referencia online a la
>> herramienta)
> 
> En el blog, los flacos dicen:
> 
>    "Instead, we would like to see more IPv6 networks being deployed,
>     along with the defenses described in RFC 6105 and the Cisco First
>     Hop Security Implementation Guide. This includes using features
>     such as RA Guard, which allows administrators to configure a
>     trusted switch port that will accept IPv6 Router Advertisement
>     packets, indicating the legitimate IPv6 router."
> 
> Hace poco mas de dos años, publiqué esto:
> <http://tools.ietf.org/html/draft-gont-v6ops-ra-guard-evasion-00>
> 
> Y no solo eso, sino que desde aquel momento, tuve la oportunidad de
> re-publicar lo mismo (pero con un titulo diferente), para que a la gente
> le guste:
> <http://tools.ietf.org/html/draft-gont-v6ops-ra-guard-implementation>.
> 
> Desde hace tres años, venimos enviando a vendors (y mas tarde hicimos
> publico) un paquete que te permite realizar esos ataques:
> <http://www.si6networks.com/tools/ipv6toolkit>. Marc Heuse tambien ha
> incluido dicho sporte en THC-IPv6 desde hace años.
> 
> P.S.: Juro que chequié la fecha en defcon y en el blogpost, porque dije
> "Esto tiene que haber pasado añs atras, y simplemente alguien se
> equivocó y envió algo viejo".
> 
> Personalmente, no puedo creer que la gente siga diciendo esto se mitiga
> con RA-guard. Escribi sobre este tema en formatos distintos (articulos,
> IETF I-Ds), presente sobre este tema en distintos ambientes, etc., etc.
> 
> En fin...
> 
> Saludos,



More information about the LACTF mailing list