[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Jue Ene 31 16:35:55 BRST 2013 

Hola!
On 1/31/13 4:23 PM, Eduardo Trápani wrote:
> <..snip..>
>> Es una coyuntura donde la alternativa es terminar todos apilados atras
>> de cajas CGN, listas para caerse al primer DDoS y llevarse con ellas
>> decenas de miles de usuarios. ¿Donde hay mas 'inseguridad' cuando
>> evaluas ese escenario?
> Acabás de acusar de FUD.  ¿Te estás leyendo?  :D ¿No sólo un mundo con
> CGN sino que además vulnerables al primer DDoS arrastrando decenas de
> miles de usuarios con ellas?  Es un escenario, sí, medio de película.
Estamos iguales en todo caso :-) Si vamos a hacer FUD hagamoslo parejo.
Tomando una optica positiva, estamos presentando escenarios
complementarios que, nuevamente, para hacer un analisis de riesgo
correcto, _todos_ deben ser considerados.
>
> Hablando desde la perspectiva de usuarios hogareños.  ¿Comparo entonces
> la inseguridad de IPv6 contra ... quedarme sin conexión?
>
>> Dicho de otra manera, el _no_ desplegar IPv6 _también_ tiene
>> implicancias de seguridad.
> ¿Podés nombrar un par por favor?
>
> Entiendo que se pueden romper cosas, que es más complicado escalar y que
> el ser stateful es una dificultad adicional, pero problemas de seguridad
> en sí no he encontrado.
Tu optica es muy de usuario residencial. Si sos un operador/ISP, que te
tiren una caja que da servicio a 50.000 usuarios es un problema de
seguridad fuerte y claro. Amenaza tu negocio. Tu extrapolación de esta
vision de 'la seguridad' (como que fuera un problema único) es lo que te
impide notar estos otros aspectos, que si, también son de seguridad.

Te agrego el segundo: Si operas un sitio web abierto a abuso no podes
filtrar mas por direccion IP de origen si estas en un entorno CGN. A
menos que no te importe perder miles de usuarios de una vez.

s2

~Carlos
>
> Igual, ya estamos lejos del tema del hilo, también lo podemos dejar por acá.
>
> Eduardo.
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net

Más información sobre la lista de distribución LACNOG