[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Jue Ene 31 13:38:11 BRST 2013


Hola!

On 1/31/13 1:22 PM, Eduardo Trápani wrote:
> <..snip...>
>> The Internet's need for an increased address space necessitates the widespread adoption and deployment of the IPv6 protocol. However, such adoption and deployment should encompass a thorough understanding of the corresponding security implications.
> Me pregunto cuánta comprensión de las implicaciones de seguridad tiene
> alguien que prende ipv6 en miles de redes hogareñas, sin avisar, con esa
> magia de la que les gusta hacer gala a algunos, haciendo que hosts con
> ipv4 privadas pasen a estar alegremente en ipv6 con direcciones
> públicas, con sus impresoras, discos compartidos, etc. y sin importar si
> están protegidos o no.
Para mi le falta el punto del agregar un 'adequate, realistic risk
analysis for the given context'. Con eso ahi quedamos 100% de acuerdo
con Fer.

Ahora, de lo que vos decis, la verdad que no he encontrado una sola
referencia a algun problema que haya existido en las instalaciones mas
grandes como la de Rumania o la de Free en Francia. Tampoco en las de
Comcast o en las de T-Mobile.

Por todo esto, me parece que justamente ese tipo de comentarios son los
que son FUD.
> ¿Cuánta comprensión?  Al parecer no mucha.  Y algunos lo considerarán un
> avance, otros algo preocupante, no por el resultado, sino por la manera.
>  Se agrega inseguridad, pero hagamos el deployment primero, ya
> encontraremos una solución.
Capaz que lo que hay que buscar es la comprensión del problema
coyuntural mas general en el cual esta la Internet hoy. Este problema es
mas amplio que la seguridad/inseguridad percibida, y a mi juicio, mal
evaluada, de habilitar IPv6 en redes hogareñas.

Es una coyuntura donde la alternativa es terminar todos apilados atras
de cajas CGN, listas para caerse al primer DDoS y llevarse con ellas
decenas de miles de usuarios. ¿Donde hay mas 'inseguridad' cuando
evaluas ese escenario?

Dicho de otra manera, el _no_ desplegar IPv6 _también_ tiene
implicancias de seguridad. Posiblemente es un lindo estudio para encarar.

No tengo la respuesta, pero un analisis de riesgo completo tambien debe
evaluar ese escenario.

s2

~Carlos
>
> Eduardo.
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net




Más información sobre la lista de distribución LACNOG