Protocolos, Redes

Ipv6, ¿solución o nuevo problema?

Print Friendly, PDF & Email

 El problema: 

Un día cualquiera trato de enviar un correo a una cuenta de gmail desde el servidor de hackingcodeschool.net, es un servidor propio configurado por nosotros y :

MAILER-DAEMON@hackingcodeschool.net 

Undelivered Mail Returned to Sender

Wtf!!!!??, bueno vamos a mirar:

​Our system has detected that this
message does 550-5.7.1 not meet IPv6 sending guidelines regarding PTR
records and 550-5.7.1 authentication. Please review 550-5.7.1
https://support.google.com/mail/?p=ipv6_authentication_error for more 550
5.7.1 information. kb1si16540613wjc.16 – gsmtp (in reply to end of DATA
command)

Okkk!!!…  

 Las incognitas: 

Pero..:

¿Realmente quiero usar ipv6 en mi server? y en caso afirmativo: ¿Como configuro bind9 con ipv6? , pero con ipv6 había ciertos problemillas, no?

  La investigación 

Como sabía que hay varios ataques para ipv6, busqué info y encontré la siguiente presentación:

-Teoria-

http://www.si6networks.com/presentations/lacnic19/flip6-fgont-ipv6-improvements.pdf

-Práctica-

Dentro la presentación aparte de darnos una buena explicación sobre las vulnerabilidades de ipv6 nos muestran herramientas de auditoría, seguimos el enlace y en la página http://www.si6networks.com/tools/ipv6toolkit/index.html vemos:

  También tienen el repo de git:  https://github.com/fgont/ipv6toolkit

Vamos a descargarlo en una máquina virtual y a probar:

Ipv6 toolkit

Vamos a compilarlo, como es una maquina virtual no me voy a preocupar mucho de leerlo, al menos no ahora.

make all 

tools/libipv6.c:60:18: fatal error: pcap.h: No existe el fichero 

o el directorio

ok..

aptitude install libpcap0.8-dev

make all

make install

ok, ya lo tenemos, veamos a ver que herramientas tiene y si estás nos sirven para aprender los holes de ipv6 y proteger nuestro server:

Habemus manuals!! yes

Como veis hay varias herramientas con scan6 se puede scanear una ipv6 pero vamso a probar blackhole por parecer más completa:

De este modo hacemos un escaneo simple:

sudo blackhole6 2001:41d0:8:50c9::1 

Aquí tenéis un post con la explicación de las herramientas, https://www.insinuator.net/2015/04/si6-networks-ipv6-toolkit-v2-0-guille-released-at-the-troopers-ipv6-security-summit/

Vale esto tampoco es anda del otro mundo pero creo que el punto está en que en cuanto a la privacidad ipv6 permite la identificación exacta del host.

 La solución 

Después de lo anterior la solución ha sido seguir la navaja de occam e ir al /etc/network/interfaces y desactivar ipv6 en el server (Comentar las líneas) y reiniciar.

Un saludo

Kao

Tagged , , , ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.