[LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Fernando Gont fgont at si6networks.com
Wed Aug 7 19:36:06 BRT 2013 

On 08/06/2013 07:12 PM, Antonio M. Moreiras wrote:
> Gont. No hay como contra argumentar con usted. Pero, ante la realidad,
> cuál sería su recomendación? Bloquee todo trafego IPv6, y parar todo
> despliegue, hasta que los principales vendors que ofrecen RA puedan
> solucionar el problema? Usar algo como ndpmon? Otra?

En lineas generales, la idea es que tu red debe tener paridad de
features con IPv6.

En un principio, si tu red no implementa mitigaciones contra ataques
DHCPv4, entonces no habría demasiados motivos para que intentes mitigar
ataques basados en mensajes RA o DHCPv6. Sin embargo, debido a problemas
como VPN-leakages (ver:
<http://tools.ietf.org/html/draft-ietf-opsec-vpn-leakages>), esto cobra
mayor relevancia (lease, puede que quieras mitigar ataques SLAAC/DHCPv6,
por mas que no estés mitigando las correspondientes variantes de IPv4).

Por otro lado, en otras areas, la situación puede ser mas problemática.
Tal es el caso de firewalls, que son mucho mas ampliamente desplegados
que otros dispositivos, y así y todo suelen tener limitaciones notables
en el caso de IPv6.

Por ultimo, es de mencionar que en materia de ataques SLAAC, está
proximo a publicarse como RFC este documento:
<http://tools.ietf.org/html/draft-ietf-6man-nd-extension-headers>, que
hará posible el uso de herramientas como NDPmon y demás, evitando que
las mismas sean trivialmente evadibles.

Personalmente, no creo que se pueda generalizar si se debe "frenar el
despliegue", ni tampoco si "se debe avanzar con el despliegue en todos
los casos". Creo que esa decisión depende de una cantidad de factores,
incluyendo:

* Equipamiento y dinero del que se disponga
* Caracteristicas de la red en la cual se planea despegar v6

  [por ej., si es un sitio con poco trafico, tal vez no estés tan
   afectado por las limitaciones de performance de una variedad de
   dispositivos en IPv6]

* Posibles beneficios del despliegue de v6

  [Lease: "Que obtengo por desplegar IPv6?". Dependiendo de la
   organización, y sus objetivos, las consideraciones en este punto
   pueden variar]

* Qué es o que está en juego

  Agregar algo a la red siempre implica un riesgo (menor o mayor). Y los
  aspectos anteriormente mencionados contribuyen negativamente. Sin
  embargo, es bueno entender cual es el riesgo. Poniendo un ejemplo
  tonto, no es lo mismo desplegar ipv6 en un cyber-cafe que en un banco.



Por ultimo, tengamos en cuenta que hay toda una serie de pasos previos a
"desplegar IPv6 en una red de produccion". Eventualmente, lo que tal vez
podria demorarse es el paso final, mas no así todos los otros pasos
invoucrados en el plan de despliegue.




> En tus emails, algunas veces parece que usted considera que no hay
> medidas de seguridad *suficientes* para algunos tipos de despliegue en
> la actualidad. Es verdad?

Es correcto.

Lamentablemente, dicha situación no va a cambiar mientras que la gente
no tome una actitud diferente. Ejemplos:

1) Es imposible abordar ninguna situación problematica sin aceptar e
identificar el problema. Lamentablemente, es demasiado usual en grupos
de promoción de IPv6 encontrar posiciones algo alejadas de la realidad.
Personalmente, creo que eso es mentirse a uno mismo, y no ayuda a
solucionar problemas. Los problemas se solucionan identificandoos,
aceptandolos, y haciendo algo apra cambiar la situación.

2) Como parte de lo anterior, quien están en posición de hacerlo
deberían exigir a sus proveedores de equipos que se manejen de manera
algo mas seria. Lease: ¿Como puede ser que se "festeje" el despliegue de
IPv6 por parte de vendors en los años 2011 y 2012?  -- A mi,
personalmente, me parece bastante curioso. Pero la misma gente que
"promociona" IPv6 festeja esas cosas.

3) Finalmente, hay determinadas mejoras que deben realizarse a nivel e
protocolo. El camino para relaizar estas mejoras es participar en el
6man wg de IETF. Sin embargo, muy poca gente participa... y entonces,
llevar adelante mejoras en IPv6 termina siendo una camino "cuesta arriba".




> Cuáles serían las recomendaciones de seguridad *posibles* para una red
> corporativa que esta empezando el despliegue de IPv6 hoy? Hay algun BCP,
> articulo, ó otro documento conciso donde podemos encontrar una lista con
> recomendaciones posibles (aparte de posponer el despliegue)?

Si te referías a ataques SLAAC/DHCPv6, se me ocurre que deberia ser
posible, por ejemplo, filtrar todos los paquetes que tienen Extension
Headers. Y que puede ser posible filtrar aquellos fragmentos que tienen
un "protocolo de transporte no determinado" ("undetermined transport" o
algo asi en los Cisco's, si bien recuerdo). Eso, combinado con las
correspondiente reglas para filtrar los RAs en los puertos no deseados,
puede servir como mitigación.

De manera mas general, la cosa es algo complicada, por el soporte de
IPv6 que tienen los dispositivos.

Lo que hay en materia de "mejores praçticas" es, por ejemplo:

* <http://tools.ietf.org/html/draft-ietf-opsec-v6>

* <http://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning>

*
<http://tools.ietf.org/html/draft-ietf-opsec-ipv6-implications-on-ipv4-nets>

* <http://tools.ietf.org/html/draft-ietf-opsec-vpn-leakages>


Como verás, para muchas cosas, lo unico posible hoy en dia son
workarounds/hacks... básicamente por las cuestiones anterioremente
mencionadas.

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

More information about the LACTF mailing list