[LAC-TF] USO de NDP / SEND
Hugo Pagola
hpagola at gmail.com
Thu Apr 28 09:23:00 BRT 2016
Hola Tomas, comparti la lista!
2016-04-27 12:39 GMT-03:00 Tomas Lynch <tomas.lynch at gmail.com>:
> Voy a labrar en piedra la respuesta corta junto a otras máximas de la
> redes IP.
>
> 2016-04-27 3:55 GMT-04:00 Fernando Gont <fgont at si6networks.com>:
>
>> On 04/26/2016 07:10 PM, Julio Oses wrote:
>> > Buenas Tardes.
>> >
>> > Les escribo para consultarles , debido a temas de seguridad se nos ha
>> > solicitado en una implementación de IPV6 ( La primera en mi empresa ),
>> > reemplazar el uso de NDP con SEND que debe mejorar la seguridad del
>> primero.
>>
>> Sugiera enviar estas preguntas a seguridad at lacnic.net (o en su defecto
>> hacer CC a dicha lista).
>>
>>
>>
>> > Inicialmente se esperaba utilizar NDP para brindarle a los clientes
>> > autoconfiguration , pero por lo comentado anteriomente se nos solicita
>> > usar SEND.
>> >
>> > Verificando la información vemos que se requiere la utilización de un
>> > servidor que maneje los certificados y este es el punto que no nos queda
>> > claro.
>> >
>> > Se acostumbra usar SEND contra los clientes a nivel masivo o esto es mas
>> > orientado a sesiones contra proveedores.
>> >
>> > Alguien posee documentación que pueda usar de referencia, nos estamos
>> > basando en el RFC y los ejemplos que hemos encontrado navegando.
>>
>> Respuesta corta: olvidate de usar SEND.
>>
>>
>> Respuesta larga:
>>
>> 1) La mayoria de los sistemas operativos de uso general no soportan SEND.
>>
>> 2) Tal como lo indicas, el uso de SEND (al menos en lo que a SLAAC
>> respecta) implica un PKI -- con todo lo que ello implica.
>>
>> 3) Si los mensajes de SEND llegaran a necesitar fragmentacion, send te
>> abriria la puerta a ataques de denegacion de servicio (utilizarias
>> fragmentos IPv6 para lograr que los paquetes SEND sean descartados).
>> (ver Seccion 3 de: <http://www.rfc-editor.org/rfc/rfc6980.txt>)
>>
>> 4) Es terriblemente probable que en la red en cuestion tengas vetores de
>> ataque mas importantes y mas faciles de mitigar. Cosas tales como
>> RA-Guard (*), SAVI y demás pueden ser de ayuda.
>>
>> 5) Estos dos articulos pueden ser de tu interes:
>>
>> *
>> <
>> http://searchnetworking.techtarget.com/tip/How-to-avoid-IPv6-neighbor-discovery-threats
>> >
>>
>> *
>> <
>> http://searchnetworking.techtarget.com/tip/Mitigating-IPv6-neighbor-discovery-attacks
>> >
>>
>>
>>
>> (*) tener en cuenta cosas como estas:
>> <http://www.rfc-editor.org/rfc/rfc7113.txt>
>>
>> Saludos cordiales,
>> --
>> Fernando Gont
>> SI6 Networks
>> e-mail: fgont at si6networks.com
>> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>>
>>
>>
>>
>> _______________________________________________
>> LACTF mailing list
>> LACTF at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lactf
>> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>>
>
>
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20160428/f37004db/attachment.html>
More information about the LACTF
mailing list