[LACNIC/Seguridad] IETF I-D revisado: Security Assessment of the IPv6 Flow Label
Javier Liendo
javier en liendo.net
Vie Ene 13 14:03:06 BRST 2012
en mi humilde opinion, el gran problema del campo flow-label en el
encabezado de ipv6 es que en ninguna parte se define un mecanismo de
proteccion que garantice (i.e. checksums, otros?) que el campo nunca
fue modificado en transito entre dos puntos lo que a mi parecer lo
hace inutil como mecanismo para el mantenimiento de estado en
cualquier mecanismo de infraestructura que pretenda utilizarlo (QoS,
routing, policy filtering, etc.)...el rfc6436 hace referencia
precisamente a esto...
" This last point highlights the security properties, or rather the
lack thereof, with regards to the flow label. The flow label field
is always unprotected as it travels through the network, because
there is no IPv6 header checksum, and the flow label is not included
in transport pseudo-header checksums, nor in IPsec checksums. As a
result, intentional and malicious changes to its value cannot be
detected."
saludos,
jav
2012/1/13 Fernando Gont <fgont en si6networks.com>:
> Estimados,
>
> He publicado una revisión del I-D "Security Assessment of the IPv6 Flow
> Label" (draft-gont-6man-flowlabel-security-02).
>
> El mismo se encuentra disponible en:
> <http://tools.ietf.org/html/draft-gont-6man-flowlabel-security-02>
>
> Cualquier feedback será bienvenido.
>
> Saludos cordiales, y gracias!
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
Más información sobre la lista de distribución Seguridad