[LAC-TF] USO de NDP / SEND

Fernando Gont fgont at si6networks.com
Wed Apr 27 04:55:58 BRT 2016 

On 04/26/2016 07:10 PM, Julio Oses wrote:
> Buenas Tardes. 
> 
> Les escribo para consultarles , debido a temas de seguridad se nos ha
> solicitado en una implementación de IPV6 ( La primera en mi empresa ),
> reemplazar el uso de NDP con SEND que debe mejorar la seguridad del primero.

Sugiera enviar estas preguntas a seguridad at lacnic.net (o en su defecto
hacer CC a dicha lista).



> Inicialmente se esperaba utilizar NDP para brindarle a los clientes
> autoconfiguration , pero por lo comentado anteriomente se nos solicita
> usar SEND.
> 
> Verificando la información vemos que se requiere la utilización de un
> servidor que maneje los certificados y este es el punto que no nos queda
> claro.
> 
> Se acostumbra usar SEND contra los clientes a nivel masivo o esto es mas
> orientado a sesiones contra proveedores.
> 
> Alguien posee documentación que pueda usar de referencia, nos estamos
> basando en el RFC y los ejemplos que hemos encontrado navegando.

Respuesta corta: olvidate de usar SEND.


Respuesta larga:

1) La mayoria de los sistemas operativos de uso general no soportan SEND.

2) Tal como lo indicas, el uso de SEND (al menos en lo que a SLAAC
respecta) implica un PKI -- con todo lo que ello implica.

3) Si los mensajes de SEND llegaran a necesitar fragmentacion, send te
abriria la puerta a ataques de denegacion de servicio (utilizarias
fragmentos IPv6 para lograr que los paquetes SEND sean descartados).
(ver Seccion 3 de: <http://www.rfc-editor.org/rfc/rfc6980.txt>)

4) Es terriblemente probable que en la red en cuestion tengas vetores de
ataque mas importantes y mas faciles de mitigar. Cosas tales como
RA-Guard (*), SAVI y demás pueden ser de ayuda.

5) Estos dos articulos pueden ser de tu interes:

*
<http://searchnetworking.techtarget.com/tip/How-to-avoid-IPv6-neighbor-discovery-threats>

*
<http://searchnetworking.techtarget.com/tip/Mitigating-IPv6-neighbor-discovery-attacks>



(*) tener en cuenta cosas como estas:
<http://www.rfc-editor.org/rfc/rfc7113.txt>

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

More information about the LACTF mailing list