[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Fernando Gont fernando en gont.com.ar
Mie Abr 3 21:14:35 -03 2019 

Uesley,

* En IETF, arreglar cada problema de IPv6 ha resultado un parto.
Ejemplo: Arreglar los problemas de las direcciones SLAAC llevo unos 5
años en materia de especificaciones
(https://tools.ietf.org/html/draft-gont-6man-stable-privacy-addresses-00
, hasta los eventuales RFC7217 y RFC8064).

Podria darte millones de otros ejemplos de este estilo. Y cuestiones que
no se han querido arreglar, justamente, para que el entonces RFC2460
pudiera ser elevado a estandar (si se lo updateaba de manera sustancial,
entonces no se lo podi elevar a estandar)

Eso no es falta de los operadores. En todo caso, es un fallo de IETF --
asi como tambien de todos los que deciden no participar.


* Respecto a "Si...":

 + SI IPv6 hubiera tenido un mejor diseño, seguramente no hubiera sido
   necesario hacer tanto marketin, ni tener que convencer a nadie para
   que lo despliegue.

 + Si la comunidad (la cual abarca mucho ams que simplemente los
   operadores) hubiera participado activamente en IETF, los problemas
   hubieran tomado menos tiempo en solucionarse.

 + Si los vendors hicieran codigo minimamente decente, y QA, no nos
   cansariamos ver los mismos bugs de siempre -- muchos inclusive siendo
   reencarnaciones de ipv5, como ping o' death.


 + Los problemas no se solucionan solos. LOs solucionan quienes proponen
   soluciones. MIles de veces envie mails por las listas (incluyendo las
   de LACNIC) respecto de documentos (IETF drafts) que proveian
   soluciones, y el apoyo fue reducido o nulo.


Vivimos en un mundo capitalista. Y creo que nadie va o puede venir a
explicarle a grandes proveedores como hacer dinero. Por ende,
seguramente no desplegaron IPv6 porque no lo consideraron una urgencia
para hacer dinero. Y si efectivamente el tema se lo pasaron por alto,
simplemente se joderan, perderan dinero, y en algun momento gastaran
dinero en consultoria, para implementarlo de urgencia.


SI hablamos de empresas cuyo objetivo es producir dinero, lo que sea que
ocurra es lo que debe ocurrir: o se demoraron en desplegarlo porque
luego de hacer las consideraciones correspondientes, era lo que creyeron
mas conveniente, o bien se joderan por no analizar el tema. En cualquier
de los casos, esta muy bien que asi sea. :-)

(Estamos hablando de empresas que producen dinero... no de niños
indefensos que no tienen que comer)

Fernando





On 4/4/19 01:04, Uesley Correa wrote:
> Fernando,
> 
> Me gustaría vivir en ese mundo. En el mundo que yo vivo, hay muchos con
> problemas de nat ( proveedores con decenas de millares de abonados y un
> /22 nomás disponible ) y necesitan si o si de su despliegue. Y que
> tardaron a eso y están a sufrir pérdida de clientes. Mantengo mi
> opinión: en ningún momento yo dice que el IPv6 es más seguro, sino que
> si desde hace 10 años o más tuviéramos empezado el trabajo de despliegue
> ( que no necesitaría de muchas de las técnicas de transición de hoy y
> todo más ) hoy el IPv6 ya sería un protocolo todavía más conocido y
> común (tanto en tema de problemas y soluciones). Y si no son los
> operadores los culpables de eso, yo no sé quién son.
> 
> Saludos!
> 
> On Wed, Apr 3, 2019, 18:36 Fernando Gont <fgont en si6networks.com
> <mailto:fgont en si6networks.com>> wrote:
> 
>     On 1/4/19 16:22, Fernando Frediani wrote:
>     > Buen email Ariel
>     > Como ya se ha dicho en otros lugares, lamentablemente algunas personas
>     > todavía tratan IPv6 como algo accesorio.
> 
>     Ver slides 14-22 de
>     https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf
>      -- de hace ocho años.
> 
>     -- 
>     Fernando Gont
>     SI6 Networks
>     e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 


-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución LACNOG