[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Alejandro Mucic ipnero en gmail.com
Mie Abr 3 21:13:26 -03 2019 

Si ipv6 es tan inseguro como es que Facebook o Google siguen operando
cuando dos casi todos sus datacenters están en ipv6 full , el problema es
mkt no ipv6.

El mié., 3 abr. 2019 21:15, Fernando Gont <fernando en gont.com.ar> escribió:

> Uesley,
>
> * En IETF, arreglar cada problema de IPv6 ha resultado un parto.
> Ejemplo: Arreglar los problemas de las direcciones SLAAC llevo unos 5
> años en materia de especificaciones
> (https://tools.ietf.org/html/draft-gont-6man-stable-privacy-addresses-00
> , hasta los eventuales RFC7217 y RFC8064).
>
> Podria darte millones de otros ejemplos de este estilo. Y cuestiones que
> no se han querido arreglar, justamente, para que el entonces RFC2460
> pudiera ser elevado a estandar (si se lo updateaba de manera sustancial,
> entonces no se lo podi elevar a estandar)
>
> Eso no es falta de los operadores. En todo caso, es un fallo de IETF --
> asi como tambien de todos los que deciden no participar.
>
>
> * Respecto a "Si...":
>
>  + SI IPv6 hubiera tenido un mejor diseño, seguramente no hubiera sido
>    necesario hacer tanto marketin, ni tener que convencer a nadie para
>    que lo despliegue.
>
>  + Si la comunidad (la cual abarca mucho ams que simplemente los
>    operadores) hubiera participado activamente en IETF, los problemas
>    hubieran tomado menos tiempo en solucionarse.
>
>  + Si los vendors hicieran codigo minimamente decente, y QA, no nos
>    cansariamos ver los mismos bugs de siempre -- muchos inclusive siendo
>    reencarnaciones de ipv5, como ping o' death.
>
>
>  + Los problemas no se solucionan solos. LOs solucionan quienes proponen
>    soluciones. MIles de veces envie mails por las listas (incluyendo las
>    de LACNIC) respecto de documentos (IETF drafts) que proveian
>    soluciones, y el apoyo fue reducido o nulo.
>
>
> Vivimos en un mundo capitalista. Y creo que nadie va o puede venir a
> explicarle a grandes proveedores como hacer dinero. Por ende,
> seguramente no desplegaron IPv6 porque no lo consideraron una urgencia
> para hacer dinero. Y si efectivamente el tema se lo pasaron por alto,
> simplemente se joderan, perderan dinero, y en algun momento gastaran
> dinero en consultoria, para implementarlo de urgencia.
>
>
> SI hablamos de empresas cuyo objetivo es producir dinero, lo que sea que
> ocurra es lo que debe ocurrir: o se demoraron en desplegarlo porque
> luego de hacer las consideraciones correspondientes, era lo que creyeron
> mas conveniente, o bien se joderan por no analizar el tema. En cualquier
> de los casos, esta muy bien que asi sea. :-)
>
> (Estamos hablando de empresas que producen dinero... no de niños
> indefensos que no tienen que comer)
>
> Fernando
>
>
>
>
>
> On 4/4/19 01:04, Uesley Correa wrote:
> > Fernando,
> >
> > Me gustaría vivir en ese mundo. En el mundo que yo vivo, hay muchos con
> > problemas de nat ( proveedores con decenas de millares de abonados y un
> > /22 nomás disponible ) y necesitan si o si de su despliegue. Y que
> > tardaron a eso y están a sufrir pérdida de clientes. Mantengo mi
> > opinión: en ningún momento yo dice que el IPv6 es más seguro, sino que
> > si desde hace 10 años o más tuviéramos empezado el trabajo de despliegue
> > ( que no necesitaría de muchas de las técnicas de transición de hoy y
> > todo más ) hoy el IPv6 ya sería un protocolo todavía más conocido y
> > común (tanto en tema de problemas y soluciones). Y si no son los
> > operadores los culpables de eso, yo no sé quién son.
> >
> > Saludos!
> >
> > On Wed, Apr 3, 2019, 18:36 Fernando Gont <fgont en si6networks.com
> > <mailto:fgont en si6networks.com>> wrote:
> >
> >     On 1/4/19 16:22, Fernando Frediani wrote:
> >     > Buen email Ariel
> >     > Como ya se ha dicho en otros lugares, lamentablemente algunas
> personas
> >     > todavía tratan IPv6 como algo accesorio.
> >
> >     Ver slides 14-22 de
> >
> https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf
> >      -- de hace ocho años.
> >
> >     --
> >     Fernando Gont
> >     SI6 Networks
> >     e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
> >     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> >
> >
> >
> >
> >     _______________________________________________
> >     LACNOG mailing list
> >     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> >     https://mail.lacnic.net/mailman/listinfo/lacnog
> >     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >
>
>
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190403/7650bc98/attachment.html>

Más información sobre la lista de distribución LACNOG