[LAC-TF] [lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Thu Jan 31 12:37:58 BRST 2013

RA-Guard puede no ser 'la' solución, pero funciona bastante bien. Si,
tiene problemas teóricos y problemas de implementación como los ha
descrito Fernando, pero _en la práctica_, es decir, a los efectos de los
que operamos redes de un cierto porte, funciona bastante bien.

"Bastante bien" para mi significa que en 8-9 años de operar redes con
IPv6 _nunca_ tuve un ataque por rogue-RA salvo el de Fernando en Cancún
:-)). Antes de eso, cuando quise ver uno, me lo tuve que generar yo :-)

El "Bastante Bien" de otros puede ser diferente. Si uno opera una
central nuclear, o el Large Hadron Collider, o el backbone de los
sistemas de control de tráfico aéreo de Eurocontrol, obviamente los
criterios tienen que ser otros.

De hecho, creo que en seguridad (no solo IPv6, sino en ningun campo)
existen 'las' soluciones. Lo que hay son compromisos. Cuales son los
compromisos aceptables, dependen de cada situación y deben ser parte de
un análisis de riesgo responsable.

En el evento de Montevideo (LACNIC 18) el RA-Guard de los WLAN
controllers filtró unos cuantos eventos de este tipo (rogue-RA) y no
tuvimos problemas de denegación de servicio en IPv6 de ningún tipo.

Me consta (las maravillas del logging y de la ingesta de cerveza) ademas
que Fernando lo estuvo tratando de jorobar, al igual que en Cancún, pero
con menos éxito :=)

s2

~Carlos

On 1/31/13 11:56 AM, Eduardo Trápani wrote:
> 
>> EL unico "caveat" aca es que en muchos casos, la conectividad IPv6 *si*
>> viene habilitada por defecto 8y eso puede traer problemas -- Rogue RAs
>> (ya sean maliciosos o producto de Windows Internet Connection Sharing) y
>> demás yerbas.
> 
> Sí, cierto.
> 
>> Respecto a los problemas de seguridad, a mi no me aterra tanto que los
>> haya... sino que lo que mas bien me aterra y/o frustra es la negación en
>> la gente para aceptarlos. Y cierta resistencia en algunos ambitos para
>> hacer algo al respecto.
> 
> Tal cual.  Luego de detallar problemas posibles en migración ipv6 yo
> recibí una respuesta que más o menos decía que esos problemas había que
> verlos como oportunidades.  Todavía hay gente hablando de RA-Guard como
> si fuera una solución, aún sabiendo la situación actual de las
> implementaciones y desestimando preocupaciones legítimas.
> 
> Supongo que lo hacen un poco con el espíritu de la experiencia
> compartida por los sudafricanos en otro hilo: algo como "ponemos IPv6 y
> después los problemas los vamos viendo mientras aparecen ..."  La idea
> es migrar ya, probar que se puede, aumentar la base de usuarios y el
> tráfico.  Yo creo que no quieren mencionar los problemas (o los niegan
> directamente) para no frenar la adopción, que parece ser más importante
> que la inseguridad generada.
> 
>> En tal sentido, yo preferia que al menos en las distribuciones actuales,
>> v6 viniera deshabilitado por defecto (al menos en OSes unix-like).
> 
> Sí, pensándolo bien, tenés razón.  Si lo querés lo ponés lo ponés entero
> y si no, no lo tenés y listo.  Ahora te ponen lo justo para que (si ni
> sabés que tenés IPv6) te ataquen con RA y ni lo sepas.
> 
>> Hasta la ultima vez que recerdo, openvpn no soportaba IPv6. Lo mismo
>> aplica al cliente que hay para Android.
>>
>> O te referis a meter una ruta que mande los paquetes por el tunel, por
>> mas que del otro lado sean descartados?
> 
> El tema es así: con dispositivos "tun" encapsulás paquetes IP.  Ahí
> precisás soportar IPv4 e IPv6 por separado, entender cada paquete.  Pero
> con "tap" encapsulás la trama Ethernet, ya no sabés qué llevás.  Ahí
> podés usar OpenVPN para AppleTalk o IPX si querés, o IPv6.
> 
>> demas. -- En mi experiencia personal, el tiempo rinde muchisimo menos
>> con conectividad permanente. :-(
> 
> Sí ... para mí es igual.
> 
>> Pensá en cosas como la siguiente: Una de las cosas que hace OpenVPN para
>> hacer que todo el trafico vaya por la VPN es volar toda la routing
>> table, e instalar una ruta para el tunel, o bien instalar rutas mas
>> especificas (por ej., usar para la ruta por defecto dos rutas:
>> "o.o.o.o/1" y 128.0.0.0/1", de modo que sean preferidas por sobre la
>> ruta "0.0.0.0/0").
> 
> Sí.
> 
>> Si queres aplicar esto a v6, es complicado... Por ejemplo, pensá que
>> está la "Route Information Option" de los RA... y entonces un atacante
>> puede instalarte rutas aun mas especificas... Están los ICMPv6 redirect
>> (esería bueno que hace openvpn con los icmpv4, por cierto :-) ), y demás.
> 
> Es que te volvés protocol-agnostic.  Al encapsular tráfico ethernet, ya
> no importa qué protocolo usás.  Nadie te va a inyectar un RA sobre el
> túnel cifrado de OpenVPN.  No tienen como agregarte rutas, ya que esa
> interfaz, la tap, es la única recibiendo tramas ethernet que contienen
> paquetes IPv6.
> 
> Se puede, anda y entiendo que es seguro (sólo precisás habilitar IPv6 en
> la interfaz tap, no en las otras).[1][2][...]
> 
> Eduardo.
> 
> [1]
> http://serverfault.com/questions/237851/how-can-i-setup-openvpn-with-ipv4-and-ipv6-using-a-tap-device
> [2] http://silmor.de/ipv6.openvpn.php
> _______________________________________________
> LACNOG mailing list
> LACNOG at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe at lacnic.net
> 