Menú principal

sábado, 19 de enero de 2013

Configurar Extensiones de Privacidad IPv6 en Mac OS X

Por defecto los equipos Mac OS X vienen con IPv6 activado y para configurar una dirección de forma automática, lo que hace que generen la dirección de vínculo local (Local-Link), que acepten direcciones IPv6 por DHCPv6 y que se generen una nueva dirección IPv6 por cada mensaje Router Advertisement reciban por la red, mediante el protocolo SLAAC (State-Less Address Auto-Configuration).

Tanto en el caso de las direcciones Local-Link como en las generadas con SLACC se utiliza por defecto un derivado de la dirección MAC, lo que permite a un atacante que quiere hacer un escaneo de la red poder predecir las direcciones IPv6 generadas a partir de las MAC obtenidas - y poder buscar solo los equipos Apple reconociéndolos por la red -.

Figura 1: Solo se cambia el 7º bit más significativo de la dirección MAC en la dirección IPv6

Para evitar esto, a partir de Mac OS X Lion 10.7 se añadieron por defecto las Private Extensions de IPv6, descritas en el RFC 4941 que hacen que se genere una dirección IPv6 SLAAC con un valor aleatorio, haciendo que no sea posible predecir estas direcciones a partir de una dirección física MAC. Esto se controla en Mac OS X con el parámetro: net.inet6.ip6.use_tempaddr. Para consultar el valor con el que está configurado es suficiente con hacer una llamada como esta:
sysctl net.inet6.ip6.use_tempaddr
Los valores que pueden tomar son:
0 : No utilizar las extensiones de privacidad
1 : Utilizar las extensiones de privacidad
2 : Utilizar extensiones de privacidad y hacer estas direcciones preferidas
Como podréis comprobar en Mac OS X Lion y en OX Mountain Lion el valor por defecto es 1, lo que hace que cuando se genere una dirección con SLAAC esta no contenga la dirección MAC en ella. 

Figura 2: Configuración por defecto de Private Extensiones en Mac OS X

Sin embargo, la dirección de Local-Link seguirá siendo la misma, lo que hará que, por defecto, en cualquier comunicación entre dos equipos por IPv6 del mismo segmento en el que no sea necesario utilizar un router, se utilice la dirección Local-Link en lugar dela generada con SLAAC. Por lo que si hay que compartir archivos o conectarse a cualquier otro sevicio por IPv6 se utilizaría la dirección de Local-Link, que es aún predecible.

Para evitar esto se puede utilizar el valor 2, lo que haría que se usara la dirección autogenerada con SLAAC, la dirección configurada de forma estática o la configurada por DHCPv6 en lugar de la de Local-Link, consiguiendo que fuese más complicado preparar un ataque Man in the middle al no ser fácil escanear la red. Configurar esto en Mac OS X se puede hacer de manera temporal mediante el comando siguiente.

Figura 2: Cambiando el valor por defecto de las Private Extensions en IPv6

O permanentemente configurado el fichero /etc/sysctl.conf y añadiendo una linea con el valor:
net.inet6.ip6.use_tempaddr=2
Con esto, el entorno IPv6 de Mac OS X quedaría un poco más fortificado, pero si no estás utilizando IPv6 en tu sistema, recuerda que puedes deshabilitarlo de esta forma.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares