[LACNIC/Seguridad] [LAC-TF] Para pensar: IPv6 RAs, IPv4, y ("evasion" de) VPNs...

[Fernando Gont]

On 09/05/2012 11:32 AM, Arturo Servin wrote:
>> DHCP es request response -- si no enviaste un dhcp-request, entonces no
>> vas a procesar el dhcp-response/offer -- o sea, el ataque no funciona en
>> este caso.
> 
> 	Y cuantos usuarios deshabilitan el DHCP cuando llegan al hotel?

Es otro escenario distinto. No por ello mejor, peor, ni nada de eso.



>>> Además de deshabilitar el stack que no usas o autenticar tu
>>> first-hop, no se que otra forma efectiva existe de mitigar estos
>>> ataques.
>>
>> La mitigatcion es simple: que si tenés una VPN activa, los paquetes van
>> por al VPN, o no van por ningun lado.
> 
> 	Entonces en v4 es igual si la VPN esta activa y este thread es irrelevante.

:-)

Seria irrelevante si fuera comun que las VPNs proveyeran acceso v6-only
-- lo cual no es cierto.

Por el contrario, es super comun VPNs que proveen acceso v4-only.

Asimismo, la adicion de soporte IPv6 es algo nuevo en muchas redes,
mientras que IPv6 apareció un mundo en el que ya existia IPv4 -- el
"bicho nuevo" es v6, no v4.

De cualquier caso, el bottom-line del thread no es "IPv6? Terror!", ni
"Quien es mejor peor/de los dos" (lo cual es, si, en cierta manera
irrelevante). Sino mas bien generar consciencia de cosas que pueden suceder.

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1