[lacnog] Problema de seguridad en Junos e IPv6

Fernando Gont fgont en si6networks.com
Mie Ene 22 08:33:06 GMT+3 2020


On 22/1/20 07:34, JORDI PALET MARTINEZ via LACNOG wrote:
> Jaja, no había visto la broma de Tomás ... ni que yo fuera el
> causante de todos los males de IPv6!
> 
> Yo no concuerdo con Fernando. Eso depende de cada implementación, de
> cómo hace el fabricante su trabajo. Esta claro que todo es mejorable,
> pero también esta claro que IPv4 sigue teniendo muchas
> vulnerabilidades, que dependen tanto del protocolo como de las
> implementaciones de determinados fabricantes.

Podes listarlas? Al menos 5? -- porque sino corremos el riesgo de entrar 
en lo que en Maradonia conocemos como "vatir fruta indiscriminada e 
impunemente" :-)



> Ningún "software" se libra nunca de eso. Teóricamente a más años que
> pasen, menos vulnerabilidades pero la práctica a veces nos lleva la
> contraria.

La superficie de ataque solo se incrementa si con el tiempo se agregan 
mas features de lo que se remueven cosas.



> Además, seamos prácticos, no nos queda otra. IPv6 es lo que hay, IPv4
> "ya no hay más". Si se pretende dejar a un lado IPv6, las
> vulnerabilidades, bugs, etc., iran saliendo con el uso de CGN.

Estas mezclando peras con bananas... o mas bien peras con vino tinto.

Reconocer problemas no implica dejar de lado. Por otro lado, no se cual 
seria la logica de que lo que no aparece via IPv6 necesariamente aparece 
en CGNs.



> Es decir, o tenemos un camino a largo plazo (IPv6), o tenemos un
> camino intermedio a medio plazo, mas costoso (CGN y otras tecnicas
> para prolongar artificialmente la vida de IPv4).

La vida de IPv4 es necesario prolongarla, porque mas allá que los 
grandes proveedores de contenido hayan desplegado IPv6, la mayoria del 
resto de los mortales no lo ha hecho.

Muchos otros dispositivos (camaras IP, smart TVs, etc), nunca lo harán.


> En ambos casos
> surgiran diferentes bugs. No por que CGN sea IPv4, deja de estar
> libre de ellos.

La mayoria del codigo IPv4 cuanta con al menos 20 -30 años de uso en 
producción.

No es que el codigo IPv4 haya sido mejor, o menos horrible. Sino que se 
ha tenido mas tiempo para emparchar problemas.

P.S.: Lo de arriba no es un argumento contra el despliegue de IPv6. EL 
despliegue de IPv6 es, un muchos casos, una necesidad. Pero eso no 
cambia ninguno de los otros aspectos mencionados en este mail.
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG