[lacnog] EUROPOL pide el fin del CGN
Roque Gagliano
rgaglian en gmail.com
Dom Oct 22 20:19:06 BRST 2017
Hola Jordi,
Reconozco que hace años no sigo los mecanismo de transación o cómo se
llamen ahora.
Para los SPs, las órdenes judiciales que recibo dice "Identifique al usario
que utilizó la dirección IP el día XX/XX/XX a la hora XX:XX".
Hoy en día, la dirección IP es IPv4 y es identificada por el servidor
destino (que no tiene relación con el SP y en general es IPv4).
Cómo me salvo con 464XLAT de tener que guardar los logs de los puertos para
contestarle al juez si la comunicación es vista por el destino como v4?
Saludos,
Roque
2017-10-21 11:01 GMT+02:00 JORDI PALET MARTINEZ <jordi.palet en consulintel.es>
:
> Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de forma
> inteligente, se reduce la carga del log y su complejidad.
>
> Además, hay mecanismos de transición que no necesitan CGN, o que permiten
> identificar los flujos de tráfico sin necesidad del source port, por
> ejemplo, 464XLAT, dado que basta con tener identificado el prefijo asignado
> al cliente en IPv6, y por lo tanto aunque el supuesto atacante “sepa” de
> IPv4 e IPv6 y fuerce a su red a usar IPv4, en realidad en el log se ve que
> es él, por el prefijo IPv6 fuente, que se usa en la traducción del NAT64.
>
> El problema que hay es:
> 1) Muchas legislaciones obligan al ISP a guardar el log para saber de
> quién es una determinada IP fuente, pero no los puertos.
> 2) Muchos ISPs tienen, para cumplir con esa legislación, o bien
> asignaciones estáticas de IP por clientes, o bien sistemas que hacen el log
> de las mismas, pero no los puertos.
> 3) Aunque cambiemos la ley para obligar a guardar los puertos, eso puede
> tardar meses o años, y cualquier cambio legislativo, deber dar un tiempo
> razonable para implementarlo. ¿Digamos 2 años en total?
> 4) Los ISPs grandes pueden invertir en sistemas para hacer el log más
> completo, pero a los pequeños ese cambio legislativo les puede suponer un
> coste muy oneroso.
> 5) Todos sabemos que IPv6 hay que desplegarlo sí o sí. Te enfrentas al
> dilema de si hacerlo ahora o más adelante o si invertir en CGN en lugar de
> NAT64 para 464XLAT (donde tienes open source, cosa que no hay para el CGN).
> Creo que la respuesta es obvia.
> 6) Si el cambio legislativo en lugar de obligar a log del source port,
> obliga al NO despliegue de CGN, o si se hace, da un plazo máximo de, por
> ejemplo, 2 años para el despliegue de IPv6, hemos matado dos pájaros de un
> tiro y estamos haciendo ver a los ISPs, por si no han hecho bien las
> cuentas, donde está mejor invertido su dinero (CGN frente a despliegue de
> IPv6 con 464XLAT).
>
> En resumen, soluciones a medio plazo son absurdas si tienes fijado el
> camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se logra
> es con 464XLAT) en las redes de acceso, tal y como ya tienen las redes
> celulares, siendo el mecanismo de transición que tiene más cientos de
> millones de usuarios, mucho más que todos los demás juntos. Por algo será,
> ¿no?
>
> Saludos,
> Jordi
>
>
> -----Mensaje original-----
> De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Fernando Gont <
> fgont en si6networks.com>
> Responder a: Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnic.net>
> Fecha: viernes, 20 de octubre de 2017, 11:25
> Para: Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnic.net>, "Carlos M. Martinez" <carlosm3011 en gmail.com>
> Asunto: Re: [lacnog] EUROPOL pide el fin del CGN
>
> On 10/17/2017 04:57 PM, Carlos M. Martinez wrote:
> > Tan corto como contundente:
> >
> > https://www.europol.europa.eu/newsroom/news/are-you-sharing-
> same-ip-address-criminal-law-enforcement-call-for-end-of-
> carrier-grade-nat-cgn-to-increase-accountability-online
>
> No es medio similar a "pedir el fin del hambre en la Tierra"?
>
> El mortal ISP ha de preguntarse "Genial... como hago para acceder al
> contenido v4-only sin mas direcciones IPv4, ni CGN"?
>
> Por otro lado, dado que en la gran mayoria de los casos los sistemas
> soportan IPv4, por que habria el atacante de utilizar IPv6 para atacar?
> Solo para hacerle la vida mas facil a su "contrincante"?
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.consulintel.es
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
--
At least I did something
Don Draper - Mad Men
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20171023/1491b53c/attachment.html>
Más información sobre la lista de distribución LACNOG