[uylug-varios] ¿Se puede proteger una red IPv4-only de un ataque de RA IPv6?

[Eduardo Trápani]

Hola,

A raíz de la experiencia que comentaba Carlos en Haití, me pensé como el
administrador de la red "convertida" y me vino la duda de si es posible
protegerse en un segmento de red IPv4-only de alguien que sin
autorización levante un túnel IPv6 y empiece a anunciar el prefijo. (el
medio es compartido).

Si alguien hace eso, los hosts modernos en el segmento van a
configurar/despertar su stack IPv6 y además lo van a preferir, lo que
quiere decir que el tráfico a Google, Bing, Facebook, Wikipedia,
Youtube, ... va a ser IPv6 y va a salir por el túnel.  El tráfico no
seguro ya se veía por ser un medio compartido, pero ahora se podría
interceptar y modificar trivialmente al pasar por el túnel.  Dependiendo
de la configuración de DNS también la resolución podría quedar comprometida.

El administrador de la red que "mágicamente" tuvo IPv6 por un rato,
¿hubiera tenido alguna herramienta para prevenir eso, que claramente no
es deseable?  Los que administramos una red que es IPv4-only, ¿qué
podemos hacer para evitar algo así?

Eduardo.

PD: pregunté algo muy parecido en la lista Lacnog (Latin America and
Caribbean Region Network Operators Group), pero como es otro público,
preferí preguntar acá también.