[LACNIC/Seguridad] [LAC-TF] VPNs & IPv6 & mucho humo :-)

Fernando Gont fgont en si6networks.com
Jue Jul 2 04:02:09 BRT 2015 

Hola, Juan,

Mis comentarios van entre lineas...

On 07/02/2015 03:13 AM, Juan Antonio Matos wrote:
> Que curioso, hasta gracioso resulta. 

Si... :-)

En lo que respecta a los articulos (titulares y demas), de algun modo es
entendible: lo que buscan es "impacto" mas que veracidad. :-)
Si, es cierto que hay declaraciones de gente "tecnica" con argumentos
algo marketineros...

El paper/reporte de la conferencia lo mire muy por arriba. De lo que
mire me parece que hay como una cuota de "sobreanalisis".. y obviamente
lo de el IPv6 traffic leakage estaba mas que publicado a esa altura....



> Fernando quieres decir que usar
> VPN con trafico IPv6 compromete la seguridad de la información que
> viaja en esos paquetes.
> 
> Si es así, entonces ¡la fiesta se pone interesante!

El tema es el siguiente: muchos soft que se utilizan para crear una VPN
(en el sentido de tunel encriptado) lo hacen insertando en la tabla de
ruteo rutas mas especificas a las existentes, o bien elminando todas las
rutas existentes e insertando una que hace que todo el trafico vaya por
el tunel.

Si un atacante pudiera insertar por ejemplo rutas mas especificas que
las que inserto el soft de la VPN, entonces podria hacer que el trafico
en cuestion escapara al tunel. En principio, en IPv4 esto es algo mas
dificil de hacer: el soft VPN basicamnte podria bloquear ICMPv6
redirects, y listo.Y la ventana de ataque para DHCPv4 es bastante
reducida (el servidor DHCP *no* contacta al cliente de manera
no-solicitada).

En IPv6, si usamos SLAAC, los RA (Router Advertisements) tienen un
"Valid Lifetime" por defecto de 1800 segundos.. lo cual indica que al
menos cada media hora debes recibir un RA para que "refresque" la
informacion del router, para que no sea descartada. Asi que no podes
"bloquear todos los RA", ya que sino te quedarias sin rutas (esto es en
particular importante si solo un subset del trafico debe ir por dentro
del tunel VPN o si vas a usar IPv6 como transporte apra el tunel... ya
que en tal caso si o si necesitas mantener rutas IPv6 mas alla de la del
tunel). Entonces, si uno tiene que seguir procesando paquetes RA, el
atacante puede utilizar una variedad de vectores para insertar rutas mas
especificas que las del tunel:

* Opciones PIO (Prefix Information Option) con el bit "L" seteado (para
que un prefijo se lo consiere como "on link")

* Opciones RIO (Route Information Option) para insertar rutas a prefijos
arbitrarios, con mayor prioridad, etc.

Y en tal caso, hacer andar bien (de manera segura) un tunel VPN mientras
que utilizas SLAAC (autoconfiguracion de IPv6) se hace complicado, dificil.

Se me ocurre (pensando en voz alta), que si uno deshabilitara SLAAC, y
forzara el uso de DHCPv6, la cuestion sería mas parecida a la stuación
de IPv4. Pero debido a debates religiosos en IETF, luego llevado a
fabricantes, no todos los clientes soportan DHCPv6 (y de hecho la red a
la que te conectas podria tranquilamente no soportarlo).

La situación me recuerda entonces la siguiente frase:

"You each name yourselves king, yet the kingdom bleeds."
    -- George R.R. Martin: A Clash of Kings

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad