[Ietf-lac] Aspectos de seguridad de no desplegar IPv6
Jorge Villa
villa at reduniv.edu.cu
Mon Jul 15 09:54:17 BRT 2013
Arturo, Carlos, Fernando, ciertamente es un tema bastante amplio (y habria
que moldear un poco el titulo para que pase), pero si pienso que es
necesario. Fernando mencionaba su criterio y lo ejemplificaba a partir del
uso de CGN porque lo esta viendo desde fuera de la red; pero pienso que en
este tema uno de los principales escenarios esta a partir de ver una red
desde dentro. Cualquier computadora nueva que hayamos comprado y conectado a
una red, con seguridad tiene IPv6 habilitado y lo mismo pasa con distintos
telefonos. Como todos sabemos, aunque no hayamos desplegado IPv6, esos
dispositivos van a tener direccion IPv6 de enlace local y pueden comunicarse
usando IPv6 y tambien desde dentro es posible implementar diferentes ataques
usando esa configuracion IPv6.
Con mucha frecuencia encontramos que la mayoria de los que no implementan
IPv6, usan herramientas de gestion y seguridad que no siempre soportan IPv6
(ya sea porque la herramienta no lo soporta o porque tienen una version
vieja, pero es con la que se sienten comodos) y por tanto cualquier
situacion que se presente empleando IPv6 en su red, para ellos es
transparente. Por ejemplo, existen empresas que tienen determinadas
restricciones en el acceso a contenidos determinados (digase facebook,
yahoo, etc), pero perfectamente alguien puede habilitarse como gateway para
un grupo de amigos que quieren entrar a esas cosas, recibiendo el trafico
por IPv6 a nivel local, y usando como puerta de salida, la conexion a
Internet desde un iphone (via el ISP) y de esa forma han burlado la super
seguridad que pudo estar implementada en la red para controlar la
comunicacion con el exterior.
En fin, que pienso que es un tema sobre el cual llamar la atencion.
Saludos,
Jorge
-----Mensaje original-----
From: Arturo Servin
Sent: Monday, July 15, 2013 7:33 AM
To: ietf-lac at lacnog.org
Subject: Re: [Ietf-lac] Aspectos de seguridad de no desplegar IPv6
Este es un tema gigante y no se si es a lo que Carlos se refiere,
pero por ahi va la cosa.
On 7/15/13 8:00 AM, Fernando Gont wrote:
> Personalmente, yo enfocaría el I-D como "Security Implications of
> Carrier Grade NATs". Al fin y al cabo vas a terminar hablando de lo
> mismo, y de esta manera se elimina la suspicacia anterior.
Lo que creo que es son las implicancias de seguridad para todos los
que no implementan CGNs pero tienen que vivir con el daño colateral que
generan los que lo hacen. Por ejemplo tener que loguear IP+Puerto si
algun dia queremos reportar un incidente, identificacion de bot/ataques
por IP, monitoreo de flujos por IP, geolocalización, etc.
Me gusta mas el enfoque a IPv6 que a CGN, pero tambien habria que
pensar restringir el titulo para que no confunda.
Por ejemplo : "Implications to Security Incident Handling of
deploying CGN instead of IPv6"
Al IETF puede ser un poco complicado de convencer de adoptarlo pero
se que (porque lo he visto al igual que Carlos) que la necesidad de un
documento de este tipo es necesario para los CSIRTs y similares.
Sls,
as
_____________________________________________
Ietf-lac mailing list
Ietf-lac at lacnog.org
Cancelar suscripcion: ietf-lac-unsubscribe at lacnog.org
Consulte la enciclopedia colaborativa cubana. http://www.ecured.cu
Consulte la enciclopedia colaborativa cubana. http://www.ecured.cu
More information about the Ietf-lac
mailing list