[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Jue Ene 31 13:06:46 BRST 2013 

Ahora agregando a lo que dice Arturo: Y no solo IPv6, sustituir <IPv6>
por <Tecnología X> y con los mismos argumentos acabas de congelar el
desarrollo tecnologico de la disciplina X en función de un análisis de
riesgo sin base real.

Con esto no digo que las vulnerabilidades que han identificado no sean
reales, digo que su impacto en la práctica es el que tiene que ser
valorado adecuadamente.

Para mi hablar de 'seguridad' sin un análisis de adversarios y amenazas
y con ello una aceptación de determinados riesgos, que lo acompañe es un
ejercicio destinado a entrar en una espiral de paranoia sin fin. Aceptar
riesgos es lo que hacemos todo el tiempo, hasta para salir a la calle e
ir a trabajar, o al subirse al auto. No veo porque en el tema de
seguridad en TI no queremos aceptar que debemos negociar riesgos también.

En otras disciplinas de la ingeniería, sobre todo aquellas con mas
larga  tradición que la "computer science", estos análisis son parte de
cualquier cálculo. En Ing. Civil las estructuras se dimensionan p.ej.
para eventos adversos con determinados intervalos de recurrencia (100
años para edificios, 500 años para represas, etc.). Esto no quiere decir
que ese evento adverso no te venga mañana, lo que es es una forma de
_medir_ o _negociar_ el riesgo.

Por eso creo que hay que diferenciar el trabajo de 'analisis de
vulnerabilidad' o de 'potenciales ataques' de lo que es 'analisis de
seguridad'. Un poco lo que trata de hacer el scoring de CVE, ponderando
diferentes factores en una determinada vulnerabilidad.

s2

~Carlos

On 1/31/13 12:38 PM, Arturo Servin wrote:
> 	Totalmente en desacuerdo.
>
> 	Si así fuera, cualquier esfuerzo por desarrollar IPv6 sería fútil o
> prácticamente inútil.
>
> 	En ese caso los avances de Comcast, Francia, Rumania no habrian sido
> posibles porque el usuario en su casa tenia desactivado IPv6.
>
> 	
> Slds
> as
>
> On 31/01/2013 11:56, Eduardo Trápani wrote:
>>>> En tal sentido, yo preferia que al menos en las distribuciones actuales,
>>>> v6 viniera deshabilitado por defecto (al menos en OSes unix-like).
>> Sí, pensándolo bien, tenés razón.  Si lo querés lo ponés lo ponés entero
>> y si no, no lo tenés y listo.  Ahora te ponen lo justo para que (si ni
>> sabés que tenés IPv6) te ataquen con RA y ni lo sepas.
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net

Más información sobre la lista de distribución LACNOG