[lacnog] EUROPOL pide el fin del CGN

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Sab Oct 21 07:01:48 BRST 2017 

Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de forma inteligente, se reduce la carga del log y su complejidad.

Además, hay mecanismos de transición que no necesitan CGN, o que permiten identificar los flujos de tráfico sin necesidad del source port, por ejemplo, 464XLAT, dado que basta con tener identificado el prefijo asignado al cliente en IPv6, y por lo tanto aunque el supuesto atacante “sepa” de IPv4 e IPv6 y fuerce a su red a usar IPv4, en realidad en el log se ve que es él, por el prefijo IPv6 fuente, que se usa en la traducción del NAT64.

El problema que hay es:
1) Muchas legislaciones obligan al ISP a guardar el log para saber de quién es una determinada IP fuente, pero no los puertos.
2) Muchos ISPs tienen, para cumplir con esa legislación, o bien asignaciones estáticas de IP por clientes, o bien sistemas que hacen el log de las mismas, pero no los puertos.
3) Aunque cambiemos la ley para obligar a guardar los puertos, eso puede tardar meses o años, y cualquier cambio legislativo, deber dar un tiempo razonable para implementarlo. ¿Digamos 2 años en total?
4) Los ISPs grandes pueden invertir en sistemas para hacer el log más completo, pero a los pequeños ese cambio legislativo les puede suponer un coste muy oneroso.
5) Todos sabemos que IPv6 hay que desplegarlo sí o sí. Te enfrentas al dilema de si hacerlo ahora o más adelante o si invertir en CGN en lugar de NAT64 para 464XLAT (donde tienes open source, cosa que no hay para el CGN). Creo que la respuesta es obvia.
6) Si el cambio legislativo en lugar de obligar a log del source port, obliga al NO despliegue de CGN, o si se hace, da un plazo máximo de, por ejemplo, 2 años para el despliegue de IPv6, hemos matado dos pájaros de un tiro y estamos haciendo ver a los ISPs, por si no han hecho bien las cuentas, donde está mejor invertido su dinero (CGN frente a despliegue de IPv6 con 464XLAT).

En resumen, soluciones a medio plazo son absurdas si tienes fijado el camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se logra es con 464XLAT) en las redes de acceso, tal y como ya tienen las redes celulares, siendo el mecanismo de transición que tiene más cientos de millones de usuarios, mucho más que todos los demás juntos. Por algo será, ¿no?

Saludos,
Jordi
 

-----Mensaje original-----
De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Fernando Gont <fgont en si6networks.com>
Responder a: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Fecha: viernes, 20 de octubre de 2017, 11:25
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>, "Carlos M. Martinez" <carlosm3011 en gmail.com>
Asunto: Re: [lacnog] EUROPOL pide el fin del CGN

    On 10/17/2017 04:57 PM, Carlos M. Martinez wrote:
    > Tan corto como contundente:
    > 
    > https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online
    
    No es medio similar a "pedir el fin del hambre en la Tierra"?
    
    El mortal ISP ha de preguntarse "Genial... como hago para acceder al
    contenido v4-only sin mas direcciones IPv4, ni CGN"?
    
    Por otro lado, dado que en la gran mayoria de los casos los sistemas
    soportan IPv4, por que habria el atacante de utilizar IPv6 para atacar?
    Solo para hacerle la vida mas facil a su "contrincante"?
    
    -- 
    Fernando Gont
    SI6 Networks
    e-mail: fgont en si6networks.com
    PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
    
    
    
    
    _______________________________________________
    LACNOG mailing list
    LACNOG en lacnic.net
    https://mail.lacnic.net/mailman/listinfo/lacnog
    Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
    



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

Más información sobre la lista de distribución LACNOG