[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Fernando Gont fgont en si6networks.com
Jue Ene 31 22:16:35 BRST 2013


On 01/31/2013 08:50 PM, Arturo Servin wrote:
>
>>> 	Protegidos? con NAT?
>>
>> El NAT tiene, como efecto colateral, funcionamiento de un "firewall
>> diodo" (deja pasar cosas en una sola direccion).
> 
> 	Y en la otra cuando el agujero esta abierto. No es facil encontrar el
> agujero pero de que existe, existe.

Esa es exactamente la misma limitacion que puede tener un firewall.



>>> 	Es más, creo que ahora con IPv6 están mejor protegidos porque algunos
>>> ISPs en los CPEs de IPv6 instalan un Firewall (de verdad, no un NAT):
>>>
>>> draft-v6ops-vyncke-balanced-ipv6-security
>>
>> Tal vez alguno lo vea como una invitación para que los ISPs empiecen a
>> filtrar puertos específicos en v6... Lo cual no es muy "open" que digamos...
> 
> 	Es la configuracion por default que viene en el CPE lo que se propone.
> Luego como usuario abres o cierras lo que quieras.

<politically-incorrect>
Me parece una boludez.

El default tiene que hacer un simil con v4, que es a lo que la gente
está acostumbrada. Luego, el que quiera, que lo cambie.
</politially-incorrect>



>>> 	Y al final, la seguridad no es responsabilidad de mi ISP, es mia!
>>
>> De ambos.
>>
>> Del miso modo que al tomar un micro es mia la responsabilidad de ponerme
>> el cinturon de seguridad, pero es del chofer la de manejar bien, y del
>> mecánico chequear que el micro este en buen estado.
>>
>> e.g. Buen micro + cinturon de seguridad + chofer ebrio no suele llegar a
>> bueno puerto... :-)
> 
> 	Totalmente, en la misma analogia. Te sientes seguro en el micro?

No tomo micros, salvo que no me quede otra (*). Y cuando los tomo, me
siento en el medio del micro.

(*) Data-point: Hace un par de años me invitaron a dar una charla en la
provincia de Córdoba (Argentina). Ellos proponian transportarse en
micro. Yo les dije que mas alla de que en micro termina siendo un viaje
de 12 horas, el camino a Cordoba es peligroso, y prefería ir en avion
(no me importaba recortar en gastos de alojamiento, o comidas). Y no
hice el viaje justamente por eso.

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución LACNOG