[LACNIC/Seguridad] Nuevos IETF I-Ds sobre seguridad IPv6

Fernando Gont fgont en si6networks.com
Jue Dic 15 14:08:39 BRST 2011


Estimados,

Hemos publicado una serie de IETF Internet-Drafts sobre seguridad IPv6.

Resumo los I-Ds (hay para todos los gustos):

* "A method for Generating Stable Privacy-Enhanced Addresses with IPv6
Stateless Address Autoconfiguration (SLAAC)". Disponible en
<http://tools.ietf.org/id/draft-gont-6man-stable-privacy-addresses-00.txt>.

Este I-D propone una metodo para la generación de direcciones IPv6
cuando se utiliza SLAAC de modo que sean estables, pero no afecten la
privacidad de los usuarios. Bottom-line: reemplazar el metodo actual que
utiliza IIDs basados en identificadores del IEEE.


* "Managing the Address Generation Policy for Stateless Address
Autoconfiguration in IPv6". Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-managing-slaac-policy-00.txt>

Este I-D propone un mecanismo para que los routers puedan incluir
información sobre la política de generación de direcciones. En la
actualidad esto no es posible, y termina resultando en una anarquia que
no permite que la politica de seleccion de direcciones sea homogenea.


* "Security Implications of Predictable Fragment
Identification Values". Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-predictable-fragment-id-00.txt>

Este I-D discute las implicancias de seguridad de utilizar valores para
el Fragment Identification predecibles. Algunos fabricantes ya
parchearon en respuesta a este trabajo. Ver e.g.
<http://www.redhat.com/security/data/cve/CVE-2011-2699.html>


* 'Processing of IPv6 "atomic" fragments'. Disponible en:
<http://tools.ietf.org/id/draft-gont-6man-ipv6-atomic-fragments-00.txt>

Este I-D propone un cambio en los estandares correspondientes para
evitar que las vulnerabilidades descriptas en el I-D anterior puedan ser
explotadas contra trafico que actualmente no es fragmentado.


* "Security Implications of IPv6 options of Type 10xxxxxx". Disponible
en: <http://tools.ietf.org/id/draft-gont-6man-ipv6-smurf-amplifier-00.txt>.

Este I-D describe el uso de unas opciones IPv6 como amplificadores
smurf, y proopne una modificación en el standard correspondiente para
eliminar este vector de ataque.

Cualquier comentario será mas que bienvenido.

Saludos, y gracias!
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución Seguridad