[lacnog] MAC address randomization

Tomas Lynch tomas.lynch en gmail.com
Jue Nov 17 11:37:10 BRST 2016


2016-11-16 22:16 GMT-05:00 Fernando Gont <fgont en si6networks.com>:

> On 11/16/2016 10:15 AM, Tomas Lynch wrote:
> >
> > Fernando, ¿nos podrías indicar a los que no estamos en tema qué es lo
> > malo que están haciendo por favor? Gracias!
>
> Varias cosas:
>
> 1) En materia de generacion de direcciones IPv6, por ejemplo, exite
> gente que dice cosas tales como "mi dispositivo no es movil... asi que..
> porque deberia implementar RFC7217? Quiero seguir usando direcciones con
> la MAC address!". Ver:
>
>   * <https://tools.ietf.org/id/draft-gont-numeric-ids-history-01.txt>
>   * <https://www.ietf.org/id/draft-gont-numeric-ids-generation-00.txt>
>
> 2) Hay quienes argumentan (por ej., algunos muchachos de Google) que si
> randomizan las direcciones MAC, no hace falta hacer RFC7217. Lo cual es
> falso: Si usas direcciones MAC randomizadas para el IPv6 IID, terminas
> perdiendo 17 bits de entropia (el bit de multicast, y los utilizados
> para la palabra 0xfffe que se usa tradicionalmente en SLAAC).
>
> 3) Hay quienes quieren simplemente generar direcciones MAC aleatorias
> haciendo random() cada vez que te conectas a la red -- lease, cada vez
> que te conectas, cambia tu direccion MAC. Para bien o para mal, hay
> cosas actuales que se rompen (por ej., imaginate lo que sucederia cuando
> accedes a Internet desde un hotel (portal captivo, que te identifica
> mediante la direccion MAC).
>
> 4) Alguno de Microsoft (en respuesta a lo anterior) sugirio cosas estilo
> "encadenar los IDs"... como hacer depender un identificador del otro,
> mediante alguna funcion, lo cual, en los casos en los que esto es
> innecesario, puede traer potenciales problemas, en vano.
>
>
> La cuestion con el uso de identificadores es super simple: hay que
> identificar las propiedades interoperabilidad, y no sobrecargarlos de
> propiedades innecesarias, que terminan tienendo, entre otras cosas,
> implicancias de seguridad negativas.
>
>
> Excelente explicación Fernando, muchas gracias.

RFC7217 ofrece un algoritmo simple y muy efectivo. Son muy interesantes los
drafts enviados también.

Por lo que veo, por ahora hay dos métodos estándarizados para generar IPv6
IID: método con EUI-64 descripto en RFC2373 de 1998 y el de RFC7217 de
2014. ¿No hay ningún otro método?

Tomás


> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20161117/276c0751/attachment.html>


Más información sobre la lista de distribución LACNOG