[LACNIC/Seguridad] [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?

Arturo Servin aservin en lacnic.net
Mar Sep 7 13:25:42 BRT 2010 

	Algunos enlaces que pueden ser buen inicio:

http://portalipv6.lacnic.net/en

http://www.getipv6.info/index.php/Main_Page


En LACNIC tenemos algunas presentaciones de entrenamiento que hemos hecho, pero no están en un solo lugar. Este enlace es de una búsqueda en el sitio:

http://www.google.com.uy/search?hl=es&lr=&as_qdr=all&q=ipv6+filetype:pdf+site:lacnic.net&aq=f&aqi=&aql=&oq=&gs_rfai=

Saludos,
-asn



On 7 Sep 2010, at 12:31, Raul Sanjur wrote:

> Hola!
> 
> He estado siguiéndoles en sus intervenciones sin poder aportar pues estoy como un bebe, gateando en la transición de IPv4 to IPv6.
> 
> Citando el siguiente el párrafo:
> 
> Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
> 
> tiene conocimiento "casi cero" de los estandares y del protocolo en
> 
> profundidad, asi como de las consecuencias de no usar las herramientas que
> 
> IPv6 proporciona de forma adecuada.
> 
> Les solicito me instruyan el sitio donde puedo encontrar material didáctico de los estandares del protocolo IPv6 y cuales son las herramientas que IPv6 proporciona para crear una red segura.
> 
> Mientras tanto, seguiré monitoreando sus aportaciones,
> 
> Saludos desde ciudad de Panamá
> 
> 
> Raúl Sanjur
> 
> Universidad de Panamá
> 
> -----Mensaje original-----
> De: lactf-bounces en lacnic.net [mailto:lactf-bounces en lacnic.net] En nombre de Fernando Gont
> Enviado el: martes, 07 de septiembre de 2010 9:44
> Para: lactf en lac.ipv6tf.org
> CC: Latin America and Caribbean Region Network Operators Group; seguridad en lacnic.net
> Asunto: Re: [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?
> 
> Hola, Jordi,
> 
> > Windows Vista y 7 utilizan tambien un nuevo tipo de direcciones, que no son
> 
> > de privacidad, pero no dependen de la Mac. Eso implica que la busqueda se
> 
> > hace mas dificil y no es posible basarse en el OUI.
> 
> Hasta donde recuerdo haber chequeado, Vista configura direcciones de
> 
> privacidad, pero *también* configura direcciones comunes. Lo cual quiere
> 
> decir que si bien no se utilizan para conexiones salientes, *si* se las
> 
> puede utilizar para escanear.
> 
> 
> 
> > Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que
> 
> > tiene conocimiento "casi cero" de los estandares y del protocolo en
> 
> > profundidad, asi como de las consecuencias de no usar las herramientas que
> 
> > IPv6 proporciona de forma adecuada.
> 
> Si, pero existen los dos extremos: el desconocimiento de las
> 
> herramientas que IPv6 proporciona por un lado, y la negación de las
> 
> implicancias de seguridad por el otro.
> 
> En el primer caso posiblemente sea falta de conocimiento. En el segundo
> 
> al menos es falta de objetividad.
> 
> 
> 
> > Igualmente, muchas empresas lo estan
> 
> > desplegando sin formar adecuadamente a sus ingenieros ...
> 
> Coincido en este punto.
> 
> 
> 
> > Las aplicaciones de las que hablas, precisamente, solo desvelarian
> 
> > direcciones de privacidad, y estas son cambiantes (se pueden configurar para
> 
> > que cambien incluso cada pocos minutos si se requiere, aunque creo que no es
> 
> > necesario), asi que un ataque no podria tener lugar, dado que aun en el caso
> 
> > de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),
> 
> > NO existiria ya esa direccion.
> 
> La ventana de exposición sería menor (duraria menos tiempo), pero no por
> 
> ello inexistente.
> 
> Si tengo un 0-day que me permite ganar acceso de administrador en por
> 
> ej. un sistema Vista, con tal de que pueda encontrar dicho sistema y
> 
> accederlo durante un minuto, listo. No me hace falta que su direccion
> 
> sea estable por diez años para ganar acceso al mismo.
> 
> 
> 
> > Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento
> 
> > del resto de la LAN parece trivial dado que un ping multicast a todos los
> 
> > nodos los revela, SALVO, que como por defecto en muchas plataformas, estas
> 
> > tengan firewall activado por defecto.
> 
> Ahi muchisimos otros vectores para escanear. Por ejemplo MLDv2 queries,
> 
> etc. Salvo que estén *todos* deshabilitados, el escaneo es posible.
> 
> 
> 
> > Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas
> 
> > de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun
> 
> > cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),
> 
> > no seran suficientes para lograr ataques que fructifiquen ni siquiera en una
> 
> > proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.
> 
> Personalmente creo que, si uno compara escaneo en IPv6 vs. en IPv4 por
> 
> *fuerza* *bruta*, obviamente es mas facil el escaneo en IPv4.
> 
> Pero cambiando la metodologia de escaneo, creo que la situación cambia
> 
> completamente, y los escaneos en IPv6 se hacen muy viables.
> 
> 
> 
> > Creo que es importante leer todo el thread en NANOG para ver detalles que
> 
> > otros, como Owen de HE, han comentado y que justifican claramente lo que
> 
> > estoy diciendo.
> 
> Ver tambien, las de Joel Jaeggli y las de Roland Dobbins, que justifican
> 
> parte de mi punto de vista. -- de cualquier modo, hay que tener en
> 
> cuenta que existen muy pocas herramientas de ataque publicamente
> 
> disponibles... y que las que existen son muy basicas. Por eso, todavia
> 
> queda *mucho* por verse (o, dicho de otro modo, todavía no hemos visto
> 
> nada).
> 
> Saludos cordiales,
> 
> --
> 
> Fernando Gont
> 
> e-mail: fernando en gont.com.ar || fgont en acm.org
> 
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 
> 
> _______________________________________________
> 
> LACTF mailing list
> 
> LACTF en lacnic.net
> 
> https://mail.lacnic.net/mailman/listinfo/lactf
> 
> _______________________________________________
> LACTF mailing list
> LACTF en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20100907/e04dafb7/attachment.html>

Más información sobre la lista de distribución Seguridad