[LACNIC/Seguridad] Pregunta sobre Seguridad Sobre IPv6
Roque Gagliano
roque en lacnic.net
Lun Feb 11 22:40:28 BRST 2008
Hola Carlos,
>
> Con todo abierto, me refiero a que en nuestra lan interna de
> momento no
> tengo acls desde los usuarios hacia los servidores, el
> direccionamiento
> si lo hicimos como tu me lo explicas.
>>
Entonces lo mejor como siempre es tener por defecto un "negar todo"
en lugar de "aceptar todo".
>> configurar ipf6 o iptable6 de la misma forma que lo tenes para IPv4
>> para los mismos servidores. Al prender IPv6 en general todos los
>> servicios contestan por defecto en ipv6 (salvo exepciones como el
>> DNS).
>> yo lo que hago es tener una forma "scripteable" de pasar de la
>> dirección ipv4 a la ipv6 para los mismos servidores y poder
>> "traspasar" las reglas. Como no tenés NAT tenés que tener el mismo
>> cuidado con tus clientes como en toda lan pública (sólo permitir
>> conexiones establecidas, etc.).
>>
> Tenemos un esquema de seguridad para IPv4 y me gustria pasarlo al
> mismo
> o mejorarlo sobre Ipv6, la preguntra va enfocada a cuales serían
> algunos
> de los tips de su experiencia en seguridad sobre el tema. acl's,
> iptables6 switchs. a manera general y si han tenido alguna experiencia
> en ataques sobre Ipv6
Yo lo unico que he hecho es copiar las reglas de IPv4 para IPv6 para
los servicios que me interesaban, ningun problema por aca con
iptables6, sólo que FWBUILDER no soporta IPv6. Ahora, si tenes router
una cosa que nos dimos cuenta es que en todas las documentaciones de
los fabricantes te dicen como "prender el routing IPv6" pero no te
aclaran que cuando haces esto tienes que colocar una lista de acceso
para IPv6 en el "line vty", sino te van a estar accediendo por
IPv6!..así que ojo con eso.
r.
>
>> slds
>> r.
>>
>> On Feb 11, 2008, at 7:26 PM, carlos wrote:
>>
>>
>>> Saludos a todos, Mi nombre es Carlos Córdova y trabajo en la
>>> Universidad
>>> Tecnica Particular de Loja - Ecuador.
>>>
>>> Les comento que ya arrancamos con IPv6 y ya tenemos montados algunos
>>> servicios y mi interes es que si alguien tiene experiencia en
>>> implentar
>>> medidas de seguridad sobre este protoclo nos pueda dar una guía por
>>> donde empezar ya que de momento tenemos todo abierto y la
>>> comunicación
>>> con IPv6 ha sido y es completamnte transparente para los usuarios.
>>>
>>> Desde ya gracias por su tiempo y comentarios
>>>
>>> Saludos,
>>>
>>> --
>>> Carlos G. Córdova Erreis
>>> Telecomunicaciones
>>> Universidad Técnica Particular de Loja
>>> Telf: 07-2570-275 Ext. 2639 - 2635
>>> Telf: 086182307
>>>
>>>
>>> _______________________________________________
>>> Seguridad mailing list
>>> Seguridad en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>>
>>
>> -----BEGIN PGP SIGNATURE-----
>> Version: GnuPG v1.4.7 (Darwin)
>>
>> iD8DBQFHsL+4nk+WSgHpbO4RAmNdAJ9bbFIQvqmgnzWlFv5dEvnNjITePwCgh31j
>> xg9be4Y8LGnpSmw8Qr6bweU=
>> =Ka8a
>> -----END PGP SIGNATURE-----
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
>>
>
>
> --
> Carlos G. Córdova Erreis
> Telecomunicaciones
> Universidad Técnica Particular de Loja
> Telf: 07-2570-275 Ext. 2639 - 2635
> Telf: 086182307
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20080211/bdfc5f75/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 186 bytes
Desc: This is a digitally signed message part
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20080211/bdfc5f75/attachment.sig>
Más información sobre la lista de distribución Seguridad