
<div dir="ltr">Gracias Fernando.<div><br></div><div>Copiare el correo a seguridad a ver si pueden ampliarme algo adicional.</div><div><br></div><div>Revisando sus comentarios y lo que el grupo nuestro havía investigado llegamos a la misma conclusión que el soporte del mismo aun no esta desplegado en varios sistemas operativos.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div>!Saludos Cordiales¡</div><div><b>Julio Oses</b></div><div><span style="background-color:rgb(255,255,255)"><font size="2" color="#0b5394"><b><font face="Arial">Coordinador De Ingeniería De Redes</font></b></font></span><b><br></b></div><div><br></div><div><img src="https://appsco.cableonda.com/files/firmas/Logo-CableOnda-EMPRESARIAL.jpg"><br></div><div>T. (507) 395-0908</div><div>C. (507) 6930-1124</div><div><a href="mailto:julio.oses@telecarrier.com" target="_blank">julio.oses@telecarrier.com</a></div><div><a href="mailto:joses@cableonda.com" target="_blank">joses@cableonda.com</a></div><div><img src="https://appsco.cableonda.com/files/firmas/Mensaje-institucional-Potenciar.jpg"><br></div></div></div></div>

<br><div class="gmail_quote">El 27 de abril de 2016, 02:55, Fernando Gont<span dir="ltr"><<a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 04/26/2016 07:10 PM, Julio Oses wrote:<br>

> Buenas Tardes.<br>

><br>

> Les escribo para consultarles , debido a temas de seguridad se nos ha<br>

> solicitado en una implementación de IPV6 ( La primera en mi empresa ),<br>

> reemplazar el uso de NDP con SEND que debe mejorar la seguridad del primero.<br>

<br>

Sugiera enviar estas preguntas a <a href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a> (o en su defecto<br>

hacer CC a dicha lista).<br>

<br>

<br>

<br>

> Inicialmente se esperaba utilizar NDP para brindarle a los clientes<br>

> autoconfiguration , pero por lo comentado anteriomente se nos solicita<br>

> usar SEND.<br>

><br>

> Verificando la información vemos que se requiere la utilización de un<br>

> servidor que maneje los certificados y este es el punto que no nos queda<br>

> claro.<br>

><br>

> Se acostumbra usar SEND contra los clientes a nivel masivo o esto es mas<br>

> orientado a sesiones contra proveedores.<br>

><br>

> Alguien posee documentación que pueda usar de referencia, nos estamos<br>

> basando en el RFC y los ejemplos que hemos encontrado navegando.<br>

<br>

Respuesta corta: olvidate de usar SEND.<br>

<br>

<br>

Respuesta larga:<br>

<br>

1) La mayoria de los sistemas operativos de uso general no soportan SEND.<br>

<br>

2) Tal como lo indicas, el uso de SEND (al menos en lo que a SLAAC<br>

respecta) implica un PKI -- con todo lo que ello implica.<br>

<br>

3) Si los mensajes de SEND llegaran a necesitar fragmentacion, send te<br>

abriria la puerta a ataques de denegacion de servicio (utilizarias<br>

fragmentos IPv6 para lograr que los paquetes SEND sean descartados).<br>

(ver Seccion 3 de: <<a href="http://www.rfc-editor.org/rfc/rfc6980.txt" rel="noreferrer" target="_blank">http://www.rfc-editor.org/rfc/rfc6980.txt</a>>)<br>

<br>

4) Es terriblemente probable que en la red en cuestion tengas vetores de<br>

ataque mas importantes y mas faciles de mitigar. Cosas tales como<br>

RA-Guard (*), SAVI y demás pueden ser de ayuda.<br>

<br>

5) Estos dos articulos pueden ser de tu interes:<br>

<br>

*<br>

<<a href="http://searchnetworking.techtarget.com/tip/How-to-avoid-IPv6-neighbor-discovery-threats" rel="noreferrer" target="_blank">http://searchnetworking.techtarget.com/tip/How-to-avoid-IPv6-neighbor-discovery-threats</a>><br>

<br>

*<br>

<<a href="http://searchnetworking.techtarget.com/tip/Mitigating-IPv6-neighbor-discovery-attacks" rel="noreferrer" target="_blank">http://searchnetworking.techtarget.com/tip/Mitigating-IPv6-neighbor-discovery-attacks</a>><br>

<br>

<br>

<br>

(*) tener en cuenta cosas como estas:<br>

<<a href="http://www.rfc-editor.org/rfc/rfc7113.txt" rel="noreferrer" target="_blank">http://www.rfc-editor.org/rfc/rfc7113.txt</a>><br>

<br>

Saludos cordiales,<br>

--<br>

Fernando Gont<br>

SI6 Networks<br>

e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>

PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>

<br>

<br>

<br>

<br>

_______________________________________________<br>

LACTF mailing list<br>

<a href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lactf" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lactf</a><br>

Cancelar suscripcion: <a href="mailto:lactf-unsubscribe@lacnic.net">lactf-unsubscribe@lacnic.net</a><br>

</blockquote></div><br></div>