[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Arturo Servin arturo.servin en gmail.com
Jue Ene 31 18:14:43 BRST 2013 


On 31/01/2013 18:05, Eduardo Trápani wrote:
> 
>> 	Y el hecho que tenga un proxy no quiere decir que este seguro,  proxy
>> != firewall.
> 
> Ufaaa, agarrá la cita original.  NUNCA dije que estuvieran seguros
> antes.  ¡Sólo que estaban inseguros después! 

?????

	mmmmm.

	O sea, si estaban inseguros despues, fue porque antes estaban seguros?

	Entonces creo que aplica lo que digo.
	
	O, si estaban inseguros despues es porque nunca estuvieron seguros?

	Entonces no se que discutes.


(a propósito, proxy tengo
> yo en casa)

	Si, y hay milllones como tu. En porcentaje, cuantos crees que tengan
NAT vs proxy en usuarios residenciales?

> 
>>> *Parte* de la seguridad.  Viste la parte en que decía que eras *una*
>>> parte, bueno, el ISP es *otra* parte.  Y, por las dudas, hay más, como
>>> los nodos intermedios, el host con el que efectivamente te comunicás ...
>>
>> 	Que parte?
> 
> Ninguna Arturo, ninguna, el ISP no provee nada más que ... mmm ...
> conectividad.  Ellos no tienen que intentar brindar un DNS recursivo
> seguro.  Mirá un ejemplo de lo tontos que pueden ser los de Comcast
> haciendo trabajo innecesario[1]: "As part of our ongoing efforts to
> protect our customers ...".  Nadie les avisó que la responsabilidad
> recae en los usuarios.

	Claro! Voy a confiar en el DNS del ISP, como no se me ocurrio!

	Estamos hablando de seguridad en serio, no del kool-aid de marketing.

> 
> Por supuesto tampoco tienen la responsabilidad de proteger el tráfico de
> su red de miradas no autorizadas.  Los usuarios usarán SSL si es
> necesario o algo para las aplicaciones sobre UDP cuando corresponda.
> 
> Entonces quedamos así, los usuarios finales van a saber qué hacer para
> protegerse, y si no, no importa, en todo caso era su responsabilidad.
> El ISP no tiene ninguna parte en seguridad global de tus comunicaciones.

	Parece que el no lee eres tu. Los ISPs tienen mucha responsabilidad.
Para empezar filtrar anuncios, trafico que no debe salir de su red,
proteger sus resolvers, usar dnssec, etc.

	Yo dije que no puedes confiar tu seguridad en tu ISP, si quieres
seguridad seria te la tienes que proveer tu mismo.

> 
> No pude contestar el "¿qué parte?". Tenías razón.
	
	De hecho.

> 
> Eduardo.
> 
> [1]
> http://corporate.comcast.com/comcast-voices/comcast-completes-dnssec-deployment

Saludos,
as

Más información sobre la lista de distribución LACNOG