[lacnog] [LAC-TF] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?

Carlos Martinez carlosmarcelomartinez en gmail.com
Mar Sep 7 09:50:29 BRT 2010


Yo estoy 100% de acuerdo con la observacion de Arturo de que las decisiones
operativas deberian ser tomadas por los operadores. Si quieren usar /64 para
clientes, bien, y si no quieren, bien tambien.

En mi caso, me niego a usar /64 para WANes como he visto proponer en algun
documento, pero bueno, es mi vision de la cuestion nomas :D

2010/9/7 Arturo Servin <aservin en lacnic.net>

>
> Preguntas y comentarios en líneas
>
> On 7 Sep 2010, at 03:44, JORDI PALET MARTINEZ wrote:
>
>
> Las aplicaciones de las que hablas, precisamente, solo desvelarian
> direcciones de privacidad, y estas son cambiantes (se pueden configurar
> para
> que cambien incluso cada pocos minutos si se requiere, aunque creo que no
> es
> necesario), asi que un ataque no podria tener lugar, dado que aun en el
> caso
> de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),
> NO existiria ya esa direccion.
>
>
> Para usuarios end creo que no hay problema. Pero que pasa para la
> resolución de nombres para estas direcciones dinámicas, por ejemplo el
> registro MX de un servidor de correo.
>
>
>
> Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento
> del resto de la LAN parece trivial dado que un ping multicast a todos los
> nodos los revela, SALVO, que como por defecto en muchas plataformas, estas
> tengan firewall activado por defecto. La seguridad desde hace muchos años
> ya
> no es un problema de firewall de "borde" sino de que cada nodo tiene que
> estar protegido por si mismo.
>
>
> Hay algunos que no pueden evitarse como "All Routers Address",
> "All-dhcp-agents", etc. pero eso solo "atacarían" a la infraestructura de
> red que debería estar protegida. Me queda la duda del "All Nodes Address",
> se puede filtrar sin afectar la operación del protocolo?
>
>
>
> La discusion en IETF de cambiar la longitud de las asignaciones ya ha
> tenido
> lugar en otras ocasiones y nunca ha fructificado y sinceramente, espero que
> no ocurra tampoco esta vez. Creo que seria malo, y nos llevaria de nuevo a
> una situacion de ISPs que restringen el numero de direcciones que asignan a
> los usuarios, y por tanto LIMITAN SU PROPIO NEGOCIO.
>
>
> Si, esperemos que el IETF deje las decisiones operativas a los operadores,
> pero esa es opinión personal.
>
>
> Sigo pensando que aunque se logren mejoran y dar inteligencia a las
> tecnicas
> de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun
> cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),
> no seran suficientes para lograr ataques que fructifiquen ni siquiera en
> una
> proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.
>
>
> Creo que los mejores momentos del scanning han pasado con IPv4, no dudo que
> haya técnicas para hacerlo "eficiente" pero nunca llegará a los niveles de
> facilidad y rapidez que existen hasta ahora.
>
> Saludos,
> -asn
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>


-- 
========================
Carlos M. Martinez-Cagnazzo
http://cagnazzo.name
========================
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20100907/e8d2117c/attachment.html>


Más información sobre la lista de distribución LACNOG