[lacnog] [LAC-TF] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?

Fernando Gont fernando en gont.com.ar
Mie Sep 8 01:03:50 BRT 2010


Hola, Raul,

Mis comentarios van entre lineas (segui leyendo)...


> Les solicito me instruyan el sitio donde puedo encontrar material
> didáctico de los estandares del protocolo IPv6 y cuales son las
> herramientas que IPv6 proporciona para crear una red segura.

No recuerdo haber visto algun documento que discuta de manera concreta y
detallada "buenas practicas de seguridad" a la hora de implantar IPv6.

Hay por ejemplo libros tales como el de Cisco (de Hogg y Vincke) que
discuten algunas cuestiones, asi como tambien hay algunos reportes
tecnicos publicados al respecto.

Algunos de ellos dan consejos "conceptuales", pero luego no se evalua
por ejemplo si las implementaciones actuales tienen el soporte adecuado
como para "aplicar" esos conceptos, etc.

En cuanto a las "herramientas que IPv6 proporciona para crear una red
segura", en lineas generales dichas herramientas son del mismo estilo
que las herramientas proporcionadas por IPv4. (si, hay algunas cosas
puntuales como SEND... pero por una variedad de cuestiones diria que es
bastante cuestionable la posibilidad de implantarlo).

Personalmente soy de la idea que la arquitectura de redes IPv6 nativas
incluira firewalls stateful donde hoy se hubican los NATs (es decir, no
se reestablecera la conectividad "end2end"), y en lineas generales los
problemas de seguridad serán terriblemente similares (cambiando algunas
metodologias de ataque, etc.). Por otro lado las tecnologias de
transicion agregaran algunos cuestiones no contempladas por todo el
mundo (por ej., sobrepasar politicas de seguridad implementadas en
firewalls perimetrales).

Por sobre todo, lo importante es no perder la objetividad. Querer
fomentar la implantacion de IPv6 no tiene porque implicar la negacion de
discutir sus implicancias de seguridad. Del mismo modo que el hecho de
que existan implicancias de seguridad (mitigables de algun modo u otro,
o comparables a las ya existentes) no tiene porque implicar que uno no
implante estos protocolos.

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución LACNOG