[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Arturo Servin aservin en lacnic.net
Jue Ene 31 16:15:33 BRST 2013



On 31/01/2013 16:05, Eduardo Trápani wrote:
>>> haciendo que hosts con
>>> ipv4 privadas pasen a estar alegremente en ipv6 con direcciones
>>> públicas, con sus impresoras, discos compartidos, etc. y sin importar si
>>> están protegidos o no.
> 
>>
>> <ironic on>
>>
>> 	Protegidos? con NAT?
>>
>> 	Yes, sure!
> [...]
> 
> Arturo, Arturo.  Yo entiendo tu agenda y las ganas de saltar siempre
> sobre esos temas.  

	No tengo ninguna agenda. Lo que digo es por que lo creo y por considero
que es lo correcto.

Pero no podés imponerla todo el tiempo porque sí.
> ¿Dónde en la cita que hiciste leés "protegido con NAT"?  ¿Dónde siquiera
> leés NAT?

	Si no hablabas de NAT?

	A que te referias con esto y los host con redes privadas? No es
necesario escribir NAT para decir NAT.

"Me pregunto cuánta comprensión de las implicaciones de seguridad tiene
alguien que prende ipv6 en miles de redes hogareñas, sin avisar, con esa
magia de la que les gusta hacer gala a algunos, haciendo que hosts con
ipv4 privadas pasen a estar alegremente en ipv6 con direcciones
públicas, con sus impresoras, discos compartidos, etc. y sin importar si
están protegidos o no."


> 
> Estaría bueno, en modo irónico o no, ceñirse a lo que los otros dicen.
> IP privadas y proxy es un esquema común (y el que tenía en mente y
> todavía veo en algunos lugares).  En este caso, por no pertinente, podés
> quedarte con la letanía, esta vez irónica, sobre NAT y la suposición de
> protección que en la cita claramente se refiere al nuevo tráfico IPv6 y
> no a la situación anterior.
> 
>> 	Y al final, la seguridad no es responsabilidad de mi ISP, es mia!
> 
> Linda frase.  Lamentablemente es algo reduccionista.  La seguridad
> implica muchos actores, sos sólo una parte del todo.  Si tu ISP tiene
> enlaces inalámbricos no seguros moviendo datos ... te puedo asegurar que
> tu seguridad no es solamente tu responsabilidad.  Si tiene un DNS
> vulnerable o evenenable que te ofrezca como primario recursivo podés
> estar en problemas.  Ni te digo si activamente te interceptan la
> resolución.  Y si logran hacer un MITM a nivel de país, es claro que a
> nivel de ISP puede ser es posible.


	Seguridad mi ISP? Por favor, si crees que tu ISP te va a dar seguridad
y confias en ella ...

	Por que crees que existe IPSec, DNSSEC y toda las cosas criptograficas?

> 
> Pero si querés creer que toda la seguridad está en tus manos, que tu ISP
> es un cable, y decir "es mía!", adelante.  Si hay algún administrador de
> red de ISP leyéndote por lo menos sonreirá.

	Totalmente. Si quiero seguirad encripto end-to-end. Y creo que si
sonrien, pero por la inocencia de confiar en mi ISP para darme seguridad.

> 
> Eduardo.
> 

Saludos,
as



Más información sobre la lista de distribución LACNOG