[LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Arturo Servin aservin at lacnic.net
Wed Aug 7 01:47:42 BRT 2013 

	Safe your breath ...

	Es basicamente que en redes IPv4 puedes inyectar un RA y hacer que el
trafico fluya por ti.

	Paradojicamente, el ataque funciona mejor en redes IPv4 que no tienen
idea de que es IPv6. En redes IPv6, al menos RA guard provee cierta
protección (no toda ya que fragmentos pueden usarse, pero ya lo estamos
arreglando. :)

Slds
as

On 8/6/13 7:33 PM, Carlos M. Martinez wrote:
> Ya el titulo es poco serio, creo que no me da ganas de irlo a leer :-)
> 
> On 8/6/2013 9:16 PM, alberto paz wrote:
>> gente:
>>      les comparto una nota donde explica a nivel tecnico el detalle
>> del ataque a la posible victima IPv6 ...
>>      
>>
>>
>>   IPv6 is latest tool for stealing credit card numbers and passwords
>>
>> http://www.v3.co.uk/v3-uk/news/2286734/ipv6-is-latest-tool-for-stealing-credit-card-numbers-and-passwords
>>
>> por si no queda claro ... adjunto tambien el link a la tool con la
>> cual se puede realizar este ataque ...
>>
>> SuddenSix
>> https://github.com/Neohapsis/suddensix
>>
>> Atte
>>
>> AP
>>
>>
>>
>>
>>
>>
>> El 6 de agosto de 2013 19:12, Antonio M. Moreiras <moreiras at nic.br
>> <mailto:moreiras at nic.br>> escribió:
>>
>>     Gont. No hay como contra argumentar con usted. Pero, ante la realidad,
>>     cuál sería su recomendación? Bloquee todo trafego IPv6, y parar todo
>>     despliegue, hasta que los principales vendors que ofrecen RA puedan
>>     solucionar el problema? Usar algo como ndpmon? Otra?
>>
>>     En tus emails, algunas veces parece que usted considera que no hay
>>     medidas de seguridad *suficientes* para algunos tipos de despliegue en
>>     la actualidad. Es verdad?
>>
>>     Cuáles serían las recomendaciones de seguridad *posibles* para una red
>>     corporativa que esta empezando el despliegue de IPv6 hoy? Hay
>>     algun BCP,
>>     articulo, ó otro documento conciso donde podemos encontrar una
>>     lista con
>>     recomendaciones posibles (aparte de posponer el despliegue)?
>>
>>     []s
>>     Moreiras.
>>
>>     On 05/08/13 17:03, Fernando Gont wrote:
>>     > Hola, Ivan,
>>     >
>>     > On 08/05/2013 03:08 PM, Iván Arce wrote:
>>     >> La nota hace referencia a los autores de este blog post y los
>>     identifica
>>     >> como investigadores de Neohapsis.
>>     >
>>     > No habia visto el nombre de los dos flacos en el articulo original
>>     > (probablemente porque lo lei rápido, supongo). De todos modos,
>>     habiendo
>>     > leido el blog, la situación es aun mas frustrante. (ver mas abajo).
>>     >
>>     >
>>     >> Ellos a su vez hacen referencia a una charla de DEFCON y una
>>     herramienta
>>     >> que se supone que publicarón el viernes pasado (no puedo
>>     confirmarlo
>>     >> porque no estuve ahí y no encontre ninguna referencia online a la
>>     >> herramienta)
>>     >
>>     > En el blog, los flacos dicen:
>>     >
>>     >    "Instead, we would like to see more IPv6 networks being deployed,
>>     >     along with the defenses described in RFC 6105 and the Cisco
>>     First
>>     >     Hop Security Implementation Guide. This includes using features
>>     >     such as RA Guard, which allows administrators to configure a
>>     >     trusted switch port that will accept IPv6 Router Advertisement
>>     >     packets, indicating the legitimate IPv6 router."
>>     >
>>     > Hace poco mas de dos años, publiqué esto:
>>     > <http://tools.ietf.org/html/draft-gont-v6ops-ra-guard-evasion-00>
>>     >
>>     > Y no solo eso, sino que desde aquel momento, tuve la oportunidad de
>>     > re-publicar lo mismo (pero con un titulo diferente), para que a
>>     la gente
>>     > le guste:
>>     >
>>     <http://tools.ietf.org/html/draft-gont-v6ops-ra-guard-implementation>.
>>     >
>>     > Desde hace tres años, venimos enviando a vendors (y mas tarde
>>     hicimos
>>     > publico) un paquete que te permite realizar esos ataques:
>>     > <http://www.si6networks.com/tools/ipv6toolkit>. Marc Heuse
>>     tambien ha
>>     > incluido dicho sporte en THC-IPv6 desde hace años.
>>     >
>>     > P.S.: Juro que chequié la fecha en defcon y en el blogpost,
>>     porque dije
>>     > "Esto tiene que haber pasado añs atras, y simplemente alguien se
>>     > equivocó y envió algo viejo".
>>     >
>>     > Personalmente, no puedo creer que la gente siga diciendo esto se
>>     mitiga
>>     > con RA-guard. Escribi sobre este tema en formatos distintos
>>     (articulos,
>>     > IETF I-Ds), presente sobre este tema en distintos ambientes,
>>     etc., etc.
>>     >
>>     > En fin...
>>     >
>>     > Saludos,
>>     _______________________________________________
>>     LACTF mailing list
>>     LACTF at lacnic.net <mailto:LACTF at lacnic.net>
>>     https://mail.lacnic.net/mailman/listinfo/lactf
>>     Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>>     <mailto:lactf-unsubscribe at lacnic.net>
>>
>>
>>
>>
>> _______________________________________________
>> LACTF mailing list
>> LACTF at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lactf
>> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> 
> 
> 
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>

More information about the LACTF mailing list