[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks
Arturo Servin
aservin en lacnic.net
Vie Feb 1 09:54:37 BRST 2013
On 01/02/2013 09:10, Fernando Gont wrote:
> On 02/01/2013 07:40 AM, Arturo Servin wrote:
>>>>> 1) En lo personal, soy de la idea e que justamente en los "servidores"
>>>>> es donde mas sentido tiene poner dual-stack
>>>>
>>>> No si los servidores NO tienen que hablar IPv4 con nadie. Por ejemplo,
>>>> en un centro de datos para sus conexiones internas.
>>>
>>> Si las conexiones son solo internas, por que habria de preouparme por el
>>> agotamiento de direcciones? (pregunta retórica)
>>
>> Porque eventualmente tienes que decidirte por 1 protocolo. Cual
>> seleccionas, IPv4 o IPv6?
>
> Hoy por hoy, v4: mas equipos disponibles, mas probados, y a menor costo.
Es una vision de vista corta, pero cada quien que decida que
implementar y el costo asociado.
>
> Es triste, pero es asi. Y si alguien tiene quejas sobre este punto, que
> se las hagan a los vendors que habilitaron v6 en sus sitios recien el
> año pasado (y encima se los festejaron!).
>
>
>
>>>>> 2) Supongo que con algo de ese estlo perdes la posibilidad de bloquear
>>>>> IPs especificas ante la detección de actividad maliciosa o similares.
>>>>
>>>> No te entendi. Pero si tus servidores no "escuchan" IPv4 y en los FW de
>>>> borde de tu centro de datos bloqueas todo el IPv4, es importante?
>>>
>>> Si los servidores deben tener acceso publico, pondría v4+v6. Si no lo
>>> son, no tendría porqué preocuparme del agotamiento de direcciones.
>>
>> Va llegar un momento en que no todos los servidores tengan posibilidad
>> de usar v4. Ademas, para que mantener un protocolo extra?
>
> Porque la gran masa de los usuarios es hoy en dia (y lo será por buen
> tiempo), v4. De modo tal que si solo dejo v6, los usuarios v4 tendrán
> que acceder a traves de cosas tipo NAT64 (muchas de cuyas
> implementaaciones son conocidas como "algo buggy" :-) )
>
Por eso ahora usas un punto de entrada v4+v6 y tu red interna del DC en
v6 puro. Pero si quieres seguir sin escuchar, adelante.
Slds
as
Más información sobre la lista de distribución LACNOG