[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Fernando Gont fgont en si6networks.com
Jue Ene 31 22:04:24 BRST 2013


On 01/31/2013 12:38 PM, Carlos M. Martinez wrote:
>> <..snip...>
>>> The Internet's need for an increased address space necessitates
>>> the widespread adoption and deployment of the IPv6 protocol.
>>> However, such adoption and deployment should encompass a thorough
>>> understanding of the corresponding security implications.
>> Me pregunto cuánta comprensión de las implicaciones de seguridad
>> tiene alguien que prende ipv6 en miles de redes hogareñas, sin
>> avisar, con esa magia de la que les gusta hacer gala a algunos,
>> haciendo que hosts con ipv4 privadas pasen a estar alegremente en
>> ipv6 con direcciones públicas, con sus impresoras, discos
>> compartidos, etc. y sin importar si están protegidos o no.
>
> Para mi le falta el punto del agregar un 'adequate, realistic risk 
> analysis for the given context'. 

Ese era justamente el espíritu del texto.

De cualquier modo, y nos guste o no, en muchos casos se aplica:
"Que puedo perder si no lo hago? Gano algo notable si *si* lo hago? Se
justifica el riesgo?"

En la mayoría de los escenarios de una enterprise, sus aplicaciones no
soportan v6, no disponen de software/hardware de monitoreo v6, y la
experiencia en v4 por sobre v6 de los empleados es, al menos, 10 a 1.


Sin ir mas lejos, debo confesar que "www.si6networks.com" y
"www.gont.com.ar" son v6-enabled mas bien por una cuestión de "eat your
own dog food", que de una motivación comercial (estilo "perderiamos
ptenciales visitas").



> Ahora, de lo que vos decis, la verdad que no he encontrado una sola 
> referencia a algun problema que haya existido en las instalaciones
> mas grandes como la de Rumania o la de Free en Francia. Tampoco en
> las de Comcast o en las de T-Mobile.

Hya miles de posibilidades:

1) No hubieron incidentes
2) No se enteraron de que los hubieron
3) Todavía no tiene sentido atacar sobre v6
4) Tiene sentido atacar sobre v6, pero no se dispone de las herramientas
.
.
.
etc



> Por todo esto, me parece que justamente ese tipo de comentarios son
> los que son FUD.
>> ¿Cuánta comprensión?  Al parecer no mucha.  Y algunos lo
>> considerarán un avance, otros algo preocupante, no por el
>> resultado, sino por la manera. Se agrega inseguridad, pero hagamos
>> el deployment primero, ya encontraremos una solución.
> Capaz que lo que hay que buscar es la comprensión del problema 
> coyuntural mas general en el cual esta la Internet hoy. Este problema
> es mas amplio que la seguridad/inseguridad percibida, y a mi juicio,
> mal evaluada, de habilitar IPv6 en redes hogareñas.

El problema es real (y de hecho, mi articulo cierra con eso).
Lamentablemente, el modelo de despliegue de v6 desconoce la naturaleza
humana del "salvece quien pueda" o "lo voy a hacer cuando ya no me quede
otra" o "primero hacelos vos, y en todo caso, luego yo".



> Es una coyuntura donde la alternativa es terminar todos apilados
> atras de cajas CGN,

Seguramente eso sucedera, de todos modos --> Primero CGN, luego v6.

Al fin y al cabo, los vendors hacen plata con ambos. Y este planeta se
maneja por el dinero....

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución LACNOG