[lacnog] EUROPOL pide el fin del CGN

Roque Gagliano rgaglian en gmail.com
Mie Oct 25 12:41:46 BRST 2017


Y yo tambien sólo le contesté a Jordi...

On Oct 23, 2017 3:48 PM, "Roque Gagliano" <rgaglian en gmail.com> wrote:

Jordi,

Si el requerimiento de la justicia viene preguntando por el utilizador de
una dirección IPv4, cómo "sé la dirección IPv6"? cómo me ayuda 464XLAT?

Roque

PS: Mi opinión: la respuesta es obviamente que a una IPv4 externa siempre
van a existir múltiples usuarios y por ende hay que logear los puertos sin
importar si usamos CGNs o PLAT o otro. Como dice Fernando, se pide la "war
peace", lo que es correcto al nivel de político, pero los operadores en
esta lista tienen que seguir gestionando la trinchera por un rato.


2017-10-23 9:07 GMT+02:00 JORDI PALET MARTINEZ <jordi.palet en consulintel.es>:

> Hola Roque,
>
> Como sabes cuál es la dirección IPv6 (prefijo) de cada cliente, cuando una
> determinada dirección IPv6 (o prefijo) ha sido traducido a una determinada
> dirección IPv4 en el NAT64, ya sabes que cliente es y no te hace falta
> saber los puertos en IPv6.
>
> Saludos,
> Jordi
>
>
> -----Mensaje original-----
> De: Roque Gagliano <rgaglian en gmail.com>
> Responder a: <rgaglian en gmail.com>
> Fecha: lunes, 23 de octubre de 2017, 2:19
> Para: "(IPv6) JORDI PALET MARTINEZ" <jordi.palet en consulintel.es>, Latin
> America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
> Asunto: Re: [lacnog] EUROPOL pide el fin del CGN
>
>     Hola Jordi,
>
>
>     Reconozco que hace años no sigo los mecanismo de transación o cómo se
> llamen ahora.
>
>
>     Para los SPs, las órdenes judiciales que recibo dice "Identifique al
> usario que utilizó la dirección IP  el día XX/XX/XX a la hora XX:XX".
>
>
>     Hoy en día, la dirección IP es IPv4 y es identificada por el servidor
> destino (que no tiene relación con el SP y en general es IPv4).
>
>
>     Cómo me salvo con 464XLAT de tener que guardar los logs de los puertos
> para contestarle al juez si la comunicación es vista por el destino como v4?
>
>
>
>     Saludos,
>
>     Roque
>
>
>
>
>
>
>
>
>
>     2017-10-21 11:01 GMT+02:00 JORDI PALET MARTINEZ <
> jordi.palet en consulintel.es>:
>
>     Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de
> forma inteligente, se reduce la carga del log y su complejidad.
>
>     Además, hay mecanismos de transición que no necesitan CGN, o que
> permiten identificar los flujos de tráfico sin necesidad del source port,
> por ejemplo, 464XLAT, dado que basta con tener identificado el prefijo
> asignado al cliente en IPv6, y por lo tanto aunque el supuesto atacante
> “sepa” de IPv4 e IPv6 y fuerce a su red a usar IPv4, en realidad en el log
> se ve que es él, por el prefijo IPv6 fuente, que se usa en la traducción
> del NAT64.
>
>     El problema que hay es:
>     1) Muchas legislaciones obligan al ISP a guardar el log para saber de
> quién es una determinada IP fuente, pero no los puertos.
>     2) Muchos ISPs tienen, para cumplir con esa legislación, o bien
> asignaciones estáticas de IP por clientes, o bien sistemas que hacen el log
> de las mismas, pero no los puertos.
>     3) Aunque cambiemos la ley para obligar a guardar los puertos, eso
> puede tardar meses o años, y cualquier cambio legislativo, deber dar un
> tiempo razonable para implementarlo. ¿Digamos 2 años en total?
>     4) Los ISPs grandes pueden invertir en sistemas para hacer el log más
> completo, pero a los pequeños ese cambio legislativo les puede suponer un
> coste muy oneroso.
>     5) Todos sabemos que IPv6 hay que desplegarlo sí o sí. Te enfrentas al
> dilema de si hacerlo ahora o más adelante o si invertir en CGN en lugar de
> NAT64 para 464XLAT (donde tienes open source, cosa que no hay para el CGN).
> Creo que la respuesta es obvia.
>     6) Si el cambio legislativo en lugar de obligar a log del source port,
> obliga al NO despliegue de CGN, o si se hace, da un plazo máximo de, por
> ejemplo, 2 años para el despliegue de IPv6, hemos matado dos pájaros de un
> tiro y estamos haciendo ver a los ISPs, por si no han hecho bien las
> cuentas, donde está mejor invertido su dinero (CGN frente a despliegue de
> IPv6 con 464XLAT).
>
>     En resumen, soluciones a medio plazo son absurdas si tienes fijado el
> camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se logra
> es con 464XLAT) en las redes de acceso, tal y como ya tienen las redes
> celulares, siendo el mecanismo de transición que tiene más cientos de
> millones de usuarios, mucho más que todos los demás juntos. Por algo será,
> ¿no?
>
>     Saludos,
>     Jordi
>
>
>     -----Mensaje original-----
>     De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Fernando Gont <
> fgont en si6networks.com>
>     Responder a: Latin America and Caribbean Region Network Operators
> Group <lacnog en lacnic.net>
>     Fecha: viernes, 20 de octubre de 2017, 11:25
>     Para: Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnic.net>, "Carlos M. Martinez" <carlosm3011 en gmail.com>
>     Asunto: Re: [lacnog] EUROPOL pide el fin del CGN
>
>         On 10/17/2017 04:57 PM, Carlos M. Martinez wrote:
>         > Tan corto como contundente:
>         >
>         > https://www.europol.europa.eu/newsroom/news/are-you-sharing-
> same-ip-address-criminal-law-enforcement-call-for-end-of-car
> rier-grade-nat-cgn-to-increase-accountability-online
>
>         No es medio similar a "pedir el fin del hambre en la Tierra"?
>
>         El mortal ISP ha de preguntarse "Genial... como hago para acceder
> al
>         contenido v4-only sin mas direcciones IPv4, ni CGN"?
>
>         Por otro lado, dado que en la gran mayoria de los casos los
> sistemas
>         soportan IPv4, por que habria el atacante de utilizar IPv6 para
> atacar?
>         Solo para hacerle la vida mas facil a su "contrincante"?
>
>         --
>         Fernando Gont
>         SI6 Networks
>         e-mail: fgont en si6networks.com
>         PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
>         _______________________________________________
>         LACNOG mailing list
>         LACNOG en lacnic.net
>         https://mail.lacnic.net/mailman/listinfo/lacnog
>         Cancelar suscripcion: https://mail.lacnic.net/mailma
> n/options/lacnog
>
>
>
>
>
>
>     **********************************************
>     IPv4 is over
>     Are you ready for the new Internet ?
>     http://www.consulintel.es
>     The IPv6 Company
>
>     This electronic message contains information which may be privileged
> or confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
>
>
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
>
>
>
>
>     --
>
>
>     At least I did something
>     Don Draper - Mad Men
>
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.consulintel.es
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
>
>
>


-- 


At least I did something
Don Draper - Mad Men
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20171025/3fc2b2c7/attachment.html>


Más información sobre la lista de distribución LACNOG