[LAC-TF] USO de NDP / SEND

[Julio Oses]

Gracias Fernando.

Copiare el correo a seguridad a ver si pueden ampliarme algo adicional.

Revisando sus comentarios y lo que el grupo nuestro havía investigado
llegamos a la misma conclusión que el soporte del mismo aun no esta
desplegado en varios sistemas operativos.



!Saludos Cordiales¡
*Julio Oses*
*Coordinador De Ingeniería De Redes*


T. (507) 395-0908
C. (507) 6930-1124
julio.oses at telecarrier.com
joses at cableonda.com


El 27 de abril de 2016, 02:55, Fernando Gont<fgont at si6networks.com>
escribió:

> On 04/26/2016 07:10 PM, Julio Oses wrote:
> > Buenas Tardes.
> >
> > Les escribo para consultarles , debido a temas de seguridad se nos ha
> > solicitado en una implementación de IPV6 ( La primera en mi empresa ),
> > reemplazar el uso de NDP con SEND que debe mejorar la seguridad del
> primero.
>
> Sugiera enviar estas preguntas a seguridad at lacnic.net (o en su defecto
> hacer CC a dicha lista).
>
>
>
> > Inicialmente se esperaba utilizar NDP para brindarle a los clientes
> > autoconfiguration , pero por lo comentado anteriomente se nos solicita
> > usar SEND.
> >
> > Verificando la información vemos que se requiere la utilización de un
> > servidor que maneje los certificados y este es el punto que no nos queda
> > claro.
> >
> > Se acostumbra usar SEND contra los clientes a nivel masivo o esto es mas
> > orientado a sesiones contra proveedores.
> >
> > Alguien posee documentación que pueda usar de referencia, nos estamos
> > basando en el RFC y los ejemplos que hemos encontrado navegando.
>
> Respuesta corta: olvidate de usar SEND.
>
>
> Respuesta larga:
>
> 1) La mayoria de los sistemas operativos de uso general no soportan SEND.
>
> 2) Tal como lo indicas, el uso de SEND (al menos en lo que a SLAAC
> respecta) implica un PKI -- con todo lo que ello implica.
>
> 3) Si los mensajes de SEND llegaran a necesitar fragmentacion, send te
> abriria la puerta a ataques de denegacion de servicio (utilizarias
> fragmentos IPv6 para lograr que los paquetes SEND sean descartados).
> (ver Seccion 3 de: <http://www.rfc-editor.org/rfc/rfc6980.txt>)
>
> 4) Es terriblemente probable que en la red en cuestion tengas vetores de
> ataque mas importantes y mas faciles de mitigar. Cosas tales como
> RA-Guard (*), SAVI y demás pueden ser de ayuda.
>
> 5) Estos dos articulos pueden ser de tu interes:
>
> *
> <
> http://searchnetworking.techtarget.com/tip/How-to-avoid-IPv6-neighbor-discovery-threats
> >
>
> *
> <
> http://searchnetworking.techtarget.com/tip/Mitigating-IPv6-neighbor-discovery-attacks
> >
>
>
>
> (*) tener en cuenta cosas como estas:
> <http://www.rfc-editor.org/rfc/rfc7113.txt>
>
> Saludos cordiales,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20160428/86dd3a3a/attachment-0001.html>