[LACNIC/Seguridad] Pregunta sobre Seguridad Sobre IPv6

Nicolás Ruiz nicolas en ula.ve
Jue Feb 14 06:22:41 BRST 2008


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

carlos wrote:
> Roque Gagliano escribió:
> no entiendo a qué te referís con "todo abierto". Lo básico es
>> Con todo abierto, me refiero a que en nuestra lan interna de momento no 
>> tengo acls desde los usuarios hacia los servidores, el direccionamiento 
>> si lo hicimos como tu me lo explicas.
>   
> configurar ipf6 o iptable6 de la misma forma que lo tenes para IPv4  
> para los mismos servidores. Al prender IPv6 en general todos los  
> servicios contestan por defecto en ipv6 (salvo exepciones como el DNS).
> yo lo que hago es tener una forma "scripteable" de pasar de la  
> dirección ipv4 a la ipv6 para los mismos servidores y poder  
> "traspasar" las reglas. Como no tenés NAT tenés que tener el mismo  
> cuidado con tus clientes como en toda lan pública (sólo permitir  
> conexiones establecidas, etc.).

Ten presente que al instalar ACLs para IPv6 es que no puedes bloquear
todo ICMPv6 como usualmente hacen con ICMP en IPv4. En particular debes
permitir el libre tránsito de paquetes ICMPv6 tipo 2 (packet too big) y
en general (en mi opinion) todo ICMPv6 tipo < 128 (errores).

Si van a experimentar con multicast, seguramente tambien tengan que
permitir los paquetes ICMPv6 asociados a multicast.

Otro detalle es que tengan cuidado si implementan túneles u otros
mecanismos de transición. Tienen que asegurarse de revisar el payload
del túnel (por poner un ejemplo, si tienen un túnel IPv6-en-IPv4,
asegurense de que los paquetes IPv6 sean inspeccionados por un firewall
al salir del o entrar al tunel.


>   
>> Tenemos un esquema de seguridad para IPv4 y me gustria pasarlo al mismo 
>> o mejorarlo sobre Ipv6, la preguntra va enfocada a cuales serían algunos 
>> de los tips de su experiencia en seguridad sobre el tema. acl's, 
>> iptables6 switchs. a manera general y si han tenido alguna experiencia 
>> en ataques sobre Ipv6
> 
> slds
> r.
> 
> On Feb 11, 2008, at 7:26 PM, carlos wrote:
> 
>   
>>>> Saludos a todos, Mi nombre es Carlos Córdova y trabajo en la  
>>>> Universidad
>>>> Tecnica Particular de Loja - Ecuador.
>>>>
>>>> Les comento que ya arrancamos con IPv6 y ya tenemos montados algunos
>>>> servicios y mi interes es que si alguien tiene experiencia en  
>>>> implentar
>>>> medidas de seguridad sobre este protoclo nos pueda dar una guía por
>>>> donde empezar ya que de momento tenemos todo abierto y la comunicación
>>>> con IPv6 ha sido y es completamnte transparente para los usuarios.
>>>>
>>>> Desde ya gracias por su tiempo y comentarios
>>>>
>>>> Saludos,
>>>>
>>>> -- 
>>>> Carlos G. Córdova Erreis
>>>> Telecomunicaciones
>>>> Universidad Técnica Particular de Loja
>>>> Telf: 07-2570-275 Ext. 2639 - 2635
>>>> Telf: 086182307
>>>>
>>>>
>>>> _______________________________________________
>>>> Seguridad mailing list
>>>> Seguridad en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>>>     
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad
>>

- --
A: Because it destroys the flow of conversation.
Q: Why is top posting dumb?
- --
Juan Nicolás Ruiz    | Corporación Parque Tecnológico de Mérida
nicolas en ula.ve       | Mérida - Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379  08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHs/pRmjsZS9ZBxv8RAmoiAJ47MZ7j/I4P/9tYWzEHnLgO4sYH/ACeLdRX
gOwJlSgYDjKol0I9MI3x+Ss=
=TLx+
-----END PGP SIGNATURE-----




Más información sobre la lista de distribución Seguridad