[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks
Fernando Gont
fgont en si6networks.com
Vie Feb 1 09:10:37 BRST 2013
On 02/01/2013 07:40 AM, Arturo Servin wrote:
>>>> 1) En lo personal, soy de la idea e que justamente en los "servidores"
>>>> es donde mas sentido tiene poner dual-stack
>>>
>>> No si los servidores NO tienen que hablar IPv4 con nadie. Por ejemplo,
>>> en un centro de datos para sus conexiones internas.
>>
>> Si las conexiones son solo internas, por que habria de preouparme por el
>> agotamiento de direcciones? (pregunta retórica)
>
> Porque eventualmente tienes que decidirte por 1 protocolo. Cual
> seleccionas, IPv4 o IPv6?
Hoy por hoy, v4: mas equipos disponibles, mas probados, y a menor costo.
Es triste, pero es asi. Y si alguien tiene quejas sobre este punto, que
se las hagan a los vendors que habilitaron v6 en sus sitios recien el
año pasado (y encima se los festejaron!).
>>>> 2) Supongo que con algo de ese estlo perdes la posibilidad de bloquear
>>>> IPs especificas ante la detección de actividad maliciosa o similares.
>>>
>>> No te entendi. Pero si tus servidores no "escuchan" IPv4 y en los FW de
>>> borde de tu centro de datos bloqueas todo el IPv4, es importante?
>>
>> Si los servidores deben tener acceso publico, pondría v4+v6. Si no lo
>> son, no tendría porqué preocuparme del agotamiento de direcciones.
>
> Va llegar un momento en que no todos los servidores tengan posibilidad
> de usar v4. Ademas, para que mantener un protocolo extra?
Porque la gran masa de los usuarios es hoy en dia (y lo será por buen
tiempo), v4. De modo tal que si solo dejo v6, los usuarios v4 tendrán
que acceder a traves de cosas tipo NAT64 (muchas de cuyas
implementaaciones son conocidas como "algo buggy" :-) )
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución LACNOG