[Ietf-lac] Aspectos de seguridad de no desplegar IPv6

Mon Jul 15 09:54:17 BRT 2013

Arturo, Carlos, Fernando, ciertamente es un tema bastante amplio (y habria 
que moldear un poco el titulo para que pase), pero si pienso que es 
necesario. Fernando mencionaba su criterio y lo ejemplificaba a partir del 
uso de CGN porque lo esta viendo desde fuera de la red; pero pienso que en 
este tema uno de los principales escenarios esta a partir de ver una red 
desde dentro. Cualquier computadora nueva que hayamos comprado y conectado a 
una red, con seguridad tiene IPv6 habilitado y lo mismo pasa con distintos 
telefonos. Como todos sabemos, aunque no hayamos desplegado IPv6, esos 
dispositivos van a tener direccion IPv6 de enlace local y pueden comunicarse 
usando IPv6 y tambien desde dentro es posible implementar diferentes ataques 
usando esa configuracion IPv6.

Con mucha frecuencia encontramos que la mayoria de los que no implementan 
IPv6, usan herramientas de gestion y seguridad que no siempre soportan IPv6 
(ya sea porque la herramienta no lo soporta o porque tienen una version 
vieja, pero es con la que se sienten comodos) y por tanto cualquier 
situacion que se presente empleando IPv6 en su red, para ellos es 
transparente. Por ejemplo, existen empresas que tienen determinadas 
restricciones en el acceso a contenidos determinados (digase facebook, 
yahoo, etc), pero perfectamente alguien puede habilitarse como gateway para 
un grupo de amigos que quieren entrar a esas cosas, recibiendo el trafico 
por IPv6 a nivel local, y usando como puerta de salida, la conexion a 
Internet desde un iphone (via el ISP) y de esa forma han burlado la super 
seguridad que pudo estar implementada en la red para controlar la 
comunicacion con el exterior.

En fin, que pienso que es un tema sobre el cual llamar la atencion.

Saludos,
Jorge

-----Mensaje original----- 
From: Arturo Servin
Sent: Monday, July 15, 2013 7:33 AM
To: ietf-lac at lacnog.org
Subject: Re: [Ietf-lac] Aspectos de seguridad de no desplegar IPv6

    Este es un tema gigante y no se si es a lo que Carlos se refiere,
pero por ahi va la cosa.

On 7/15/13 8:00 AM, Fernando Gont wrote:
> Personalmente, yo enfocaría el I-D como "Security Implications of
> Carrier Grade NATs". Al fin y al cabo vas a terminar hablando de lo
> mismo, y  de esta manera se elimina la suspicacia anterior.

    Lo que creo que es son las implicancias de seguridad para todos los
que no implementan CGNs pero tienen que vivir con el daño colateral que
generan los que lo hacen. Por ejemplo tener que loguear IP+Puerto si
algun dia queremos reportar un incidente, identificacion de bot/ataques
por IP, monitoreo de flujos por IP, geolocalización, etc.

    Me gusta mas el enfoque a IPv6 que a CGN, pero tambien habria que
pensar restringir el titulo para que no confunda.

    Por ejemplo : "Implications to Security Incident Handling of
deploying CGN instead of IPv6"

    Al IETF puede ser un poco complicado de convencer de adoptarlo pero
se que (porque lo he visto al igual que Carlos) que la necesidad de un
documento de este tipo es necesario para los CSIRTs y similares.

Sls,
as
_____________________________________________
Ietf-lac mailing list
Ietf-lac at lacnog.org
Cancelar suscripcion: ietf-lac-unsubscribe at lacnog.org

Consulte la enciclopedia colaborativa cubana. http://www.ecured.cu