[LACNIC/Seguridad] Pregunta sobre Seguridad Sobre IPv6
Roque Gagliano
roque en lacnic.net
Jue Feb 14 13:34:17 BRST 2008
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Sobre el tema de los túneles, les paso un link a un draft sobre
cuidados a tener para quienes implementen Terredo:
http://www.ietf.org/internet-drafts/draft-ietf-v6ops-teredo-security-
concerns-01.txt
slds
r.
On Feb 14, 2008, at 6:22 AM, Nicolás Ruiz wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> carlos wrote:
>> Roque Gagliano escribió:
>> no entiendo a qué te referís con "todo abierto". Lo básico es
>>> Con todo abierto, me refiero a que en nuestra lan interna de
>>> momento no
>>> tengo acls desde los usuarios hacia los servidores, el
>>> direccionamiento
>>> si lo hicimos como tu me lo explicas.
>>
>> configurar ipf6 o iptable6 de la misma forma que lo tenes para IPv4
>> para los mismos servidores. Al prender IPv6 en general todos los
>> servicios contestan por defecto en ipv6 (salvo exepciones como el
>> DNS).
>> yo lo que hago es tener una forma "scripteable" de pasar de la
>> dirección ipv4 a la ipv6 para los mismos servidores y poder
>> "traspasar" las reglas. Como no tenés NAT tenés que tener el mismo
>> cuidado con tus clientes como en toda lan pública (sólo permitir
>> conexiones establecidas, etc.).
>
> Ten presente que al instalar ACLs para IPv6 es que no puedes bloquear
> todo ICMPv6 como usualmente hacen con ICMP en IPv4. En particular
> debes
> permitir el libre tránsito de paquetes ICMPv6 tipo 2 (packet too
> big) y
> en general (en mi opinion) todo ICMPv6 tipo < 128 (errores).
>
> Si van a experimentar con multicast, seguramente tambien tengan que
> permitir los paquetes ICMPv6 asociados a multicast.
>
> Otro detalle es que tengan cuidado si implementan túneles u otros
> mecanismos de transición. Tienen que asegurarse de revisar el payload
> del túnel (por poner un ejemplo, si tienen un túnel IPv6-en-IPv4,
> asegurense de que los paquetes IPv6 sean inspeccionados por un
> firewall
> al salir del o entrar al tunel.
>
>
>>
>>> Tenemos un esquema de seguridad para IPv4 y me gustria pasarlo al
>>> mismo
>>> o mejorarlo sobre Ipv6, la preguntra va enfocada a cuales serían
>>> algunos
>>> de los tips de su experiencia en seguridad sobre el tema. acl's,
>>> iptables6 switchs. a manera general y si han tenido alguna
>>> experiencia
>>> en ataques sobre Ipv6
>>
>> slds
>> r.
>>
>> On Feb 11, 2008, at 7:26 PM, carlos wrote:
>>
>>
>>>>> Saludos a todos, Mi nombre es Carlos Córdova y trabajo en la
>>>>> Universidad
>>>>> Tecnica Particular de Loja - Ecuador.
>>>>>
>>>>> Les comento que ya arrancamos con IPv6 y ya tenemos montados
>>>>> algunos
>>>>> servicios y mi interes es que si alguien tiene experiencia en
>>>>> implentar
>>>>> medidas de seguridad sobre este protoclo nos pueda dar una guía
>>>>> por
>>>>> donde empezar ya que de momento tenemos todo abierto y la
>>>>> comunicación
>>>>> con IPv6 ha sido y es completamnte transparente para los usuarios.
>>>>>
>>>>> Desde ya gracias por su tiempo y comentarios
>>>>>
>>>>> Saludos,
>>>>>
>>>>> --
>>>>> Carlos G. Córdova Erreis
>>>>> Telecomunicaciones
>>>>> Universidad Técnica Particular de Loja
>>>>> Telf: 07-2570-275 Ext. 2639 - 2635
>>>>> Telf: 086182307
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Seguridad mailing list
>>>>> Seguridad en lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>>>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>>>
>
> - --
> A: Because it destroys the flow of conversation.
> Q: Why is top posting dumb?
> - --
> Juan Nicolás Ruiz | Corporación Parque Tecnológico de Mérida
> nicolas en ula.ve | Mérida - Venezuela
> PGP Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641
> C6FF
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQFHs/pRmjsZS9ZBxv8RAmoiAJ47MZ7j/I4P/9tYWzEHnLgO4sYH/ACeLdRX
> gOwJlSgYDjKol0I9MI3x+Ss=
> =TLx+
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (Darwin)
iD8DBQFHtF95nk+WSgHpbO4RAi/oAJ9aXU3gXET3F92NYTUHwnYS5qRVCACgrU6l
FINDfwDek7ZHVSKjBCAQbwE=
=xtzO
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Seguridad