[lacnog] EUROPOL pide el fin del CGN

Fernando Gont fgont en si6networks.com
Sab Oct 21 18:35:03 BRST 2017 

On 10/21/2017 06:01 AM, JORDI PALET MARTINEZ wrote:
> Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de
> forma inteligente, se reduce la carga del log y su complejidad.

El problema (uno de los tantos) con el despliegue de IPv6 es que uno
hace el trabajo, pero los beneficios dependen del trabajo del resto.

Lease, la reduccion del uso de CGN depende que os sitios a los que
quiera acceder el usuario tengan IPv6.


Pero, volviendo al tema, si el sitio a ataca dispone tanto de IPv6 como
de IPv4, y dando como valida la premisa que es mas facil el rastreo en
IPv6 el atacante optará por usar IPv4.


Dicho de otro modo, solo se facilita el rastreo (asumiendo como valida
la premisa anterior) no solo con el despliegue de IPv6, sino con la
correspondiente remocion de IPv4.



> Además, hay mecanismos de transición que no necesitan CGN, o que
> permiten identificar los flujos de tráfico sin necesidad del source
> port, por ejemplo, 464XLAT, dado que basta con tener identificado el
> prefijo asignado al cliente en IPv6, y por lo tanto aunque el
> supuesto atacante “sepa” de IPv4 e IPv6 y fuerce a su red a usar
> IPv4, en realidad en el log se ve que es él, por el prefijo IPv6
> fuente, que se usa en la traducción del NAT64.

Si ataca via IPv4, el sistema atacado va a ver una direccion IPv4. Dado
que la misma esta compartida entre muchos sistemas, estamos en la misma
historia. Y todo se resume a que tenes que estar loggeando la
informacion adecuada.



> El problema que hay es: 1) Muchas legislaciones obligan al ISP a
> guardar el log para saber de quién es una determinada IP fuente, pero
> no los puertos. 

En este caso, no se esta loggeando la informacion adecuada.



> 2) Muchos ISPs tienen, para cumplir con esa
> legislación, o bien asignaciones estáticas de IP por clientes, o bien
> sistemas que hacen el log de las mismas, pero no los puertos. 3)
> Aunque cambiemos la ley para obligar a guardar los puertos, eso puede
> tardar meses o años, y cualquier cambio legislativo, deber dar un
> tiempo razonable para implementarlo. ¿Digamos 2 años en total? 4) Los
> ISPs grandes pueden invertir en sistemas para hacer el log más
> completo, pero a los pequeños ese cambio legislativo les puede
> suponer un coste muy oneroso.

La realidad es que igual lo tendran que hacer.

Lamentablemente, la realidad actual es que se sigue necesitano de IPv4.
Po ende, mientras que IPv4 siga vivo, deberas loggear adecuadamente en
IPv4, y en IPv6.




> 5) Todos sabemos que IPv6 hay que
> desplegarlo sí o sí. Te enfrentas al dilema de si hacerlo ahora o más
> adelante o si invertir en CGN en lugar de NAT64 para 464XLAT (donde
> tienes open source, cosa que no hay para el CGN). Creo que la
> respuesta es obvia. 

En principio, CGN no deja de ser NAT. Por ende uno puede utilizar
cualquier software que permita hacer NAT hoy en dia.

Para algunos, pueden haber interrogantes en materia de "robustez" y
performance. Pero dicha cuestion es bastante ortogonal al protocolo --
ya sea CGN o NAT64.



> 6) Si el cambio legislativo en lugar de obligar a
> log del source port, obliga al NO despliegue de CGN, o si se hace, da
> un plazo máximo de, por ejemplo, 2 años para el despliegue de IPv6,
> hemos matado dos pájaros de un tiro y estamos haciendo ver a los
> ISPs, por si no han hecho bien las cuentas, donde está mejor
> invertido su dinero (CGN frente a despliegue de IPv6 con 464XLAT).

Personalmente creo que es peligroso que un gobierno fuerze la
utilizacion de una tecnologia en particular -- por millones de motivos.


Entre las millones de cuestiones que existen, pregunto: si soy un ISP, y
resulta que alguien hackeo mis sistemas por un fallo de implementacion o
diseño de IPv6... el gobierno que me forzo a desplegarlo se hará
responsable?




> En resumen, soluciones a medio plazo son absurdas si tienes fijado el
> camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se
> logra es con 464XLAT) en las redes de acceso, tal y como ya tienen
> las redes celulares, siendo el mecanismo de transición que tiene más
> cientos de millones de usuarios, mucho más que todos los demás
> juntos. Por algo será, ¿no?

Cuanta gente hace o consume algo no es un parametro muy relevante.

Sin ir mas lejos, es muy probable que haya mas gente en el mundo
comiendo Big Mac con Coca-Cola que asado con malbec. Y no por ello la
primer opcion es mejor, o mas beneficiosa.


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG