[lacnog] Problema de seguridad en Junos e IPv6
JORDI PALET MARTINEZ
jordi.palet en consulintel.es
Mie Ene 22 07:34:20 GMT+3 2020
Jaja, no había visto la broma de Tomás ... ni que yo fuera el causante de todos los males de IPv6!
Yo no concuerdo con Fernando. Eso depende de cada implementación, de cómo hace el fabricante su trabajo. Esta claro que todo es mejorable, pero también esta claro que IPv4 sigue teniendo muchas vulnerabilidades, que dependen tanto del protocolo como de las implementaciones de determinados fabricantes.
Ningún "software" se libra nunca de eso. Teóricamente a más años que pasen, menos vulnerabilidades pero la práctica a veces nos lleva la contraria.
Además, seamos prácticos, no nos queda otra. IPv6 es lo que hay, IPv4 "ya no hay más". Si se pretende dejar a un lado IPv6, las vulnerabilidades, bugs, etc., iran saliendo con el uso de CGN.
Es decir, o tenemos un camino a largo plazo (IPv6), o tenemos un camino intermedio a medio plazo, mas costoso (CGN y otras tecnicas para prolongar artificialmente la vida de IPv4). En ambos casos surgiran diferentes bugs. No por que CGN sea IPv4, deja de estar libre de ellos.
El 22/1/20 11:24, "LACNOG en nombre de Fernando Gont" <lacnog-bounces en lacnic.net en nombre de fernando en gont.com.ar> escribió:
On 16/1/20 16:10, Tomas Lynch wrote:
> https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10982&actp=METADATA
>
> Lo mejor es la solución que propone el fabricante:
>
> <quote>
> WORKAROUND:
>
> Remove 'family inet6' from interfaces. Otherwise, there are no available
> workarounds for this issue.
>
> </quote>
>
> Jordi, ¿y ahora? :p
"Most security vulnerabilities related to network protocols are based on
implementation flaws, such as the so called “buffer overflows” or the
failure to graciously process specially-crafted packets. Typically,
security researchers find vulnerabilities in protocol implementations,
which eventually are “patched” to mitigate such vulnerabilities. Over
time, this process of finding and patching vulnerabilities results in
more robust implementations. For obvious reasons, the IPv4 protocols
have benefited from the work of security researchers for much longer,
and thus IPv4 implementations are generally more robust than their IPv6
counterparts."
(Ref Sección 1.1 de
https://www.internetsociety.org/deploy360/ipv6/security/faq/)
Puesto de otra forma: la madurez de las implementaciones de IPv6 es
similar a la de la madurez de las implementaciones de IPv4 en los '90.
(https://www.youtube.com/watch?v=yfKZwlscr4o)
Saludos,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
Más información sobre la lista de distribución LACNOG