[lacnog] Problema de seguridad en Junos e IPv6

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mie Ene 22 09:30:39 GMT+3 2020 

Hola Fernando,


El 22/1/20 12:34, "Fernando Gont" <fgont en si6networks.com> escribió:

    On 22/1/20 07:34, JORDI PALET MARTINEZ via LACNOG wrote:
    > Jaja, no había visto la broma de Tomás ... ni que yo fuera el
    > causante de todos los males de IPv6!
    > 
    > Yo no concuerdo con Fernando. Eso depende de cada implementación, de
    > cómo hace el fabricante su trabajo. Esta claro que todo es mejorable,
    > pero también esta claro que IPv4 sigue teniendo muchas
    > vulnerabilidades, que dependen tanto del protocolo como de las
    > implementaciones de determinados fabricantes.
    
    Podes listarlas? Al menos 5? -- porque sino corremos el riesgo de entrar 
    en lo que en Maradonia conocemos como "vatir fruta indiscriminada e 
    impunemente" :-)
    
No guardo registro de los emails que me llegan con vulnerabilidades, fácil que varias cada mes, lo siento. Pero es fácil hacer una búsqueda en google: "ipv4 vulnerabilities 2019".
    
    > Ningún "software" se libra nunca de eso. Teóricamente a más años que
    > pasen, menos vulnerabilidades pero la práctica a veces nos lleva la
    > contraria.
    
    La superficie de ataque solo se incrementa si con el tiempo se agregan 
    mas features de lo que se remueven cosas.
    
No sólo. A veces hay cosas que pasan desapercibidas, y por investigadores, o combinaciones de diversas causas, incluso casualidades, salen a flote.    
    
    > Además, seamos prácticos, no nos queda otra. IPv6 es lo que hay, IPv4
    > "ya no hay más". Si se pretende dejar a un lado IPv6, las
    > vulnerabilidades, bugs, etc., iran saliendo con el uso de CGN.
    
    Estas mezclando peras con bananas... o mas bien peras con vino tinto.

No estoy mezclando nada, simplemente me atengo a los hechos, y tu lo confirmas. Simplemente trato de evitar que alguien se lleve la sensación de que "como todavía pueden surgir mas vulnerabilidades de IPv6, no hay que usarlo hasta que estén todas descubiertas y resueltas" porque entonces nunca usaríamos ningún software!
    
    Reconocer problemas no implica dejar de lado. Por otro lado, no se cual 
    seria la logica de que lo que no aparece via IPv6 necesariamente aparece 
    en CGNs.

Quizás no me explique bien. Quiero decir, que si no usas IPv6, vas a tener que usar CGN. Y ello implica que ahí también hay posibilidad de que surjan mas vulnerabilidades y problemas en general.
    
    
    > Es decir, o tenemos un camino a largo plazo (IPv6), o tenemos un
    > camino intermedio a medio plazo, mas costoso (CGN y otras tecnicas
    > para prolongar artificialmente la vida de IPv4).
    
    La vida de IPv4 es necesario prolongarla, porque mas allá que los 
    grandes proveedores de contenido hayan desplegado IPv6, la mayoria del 
    resto de los mortales no lo ha hecho.

Es necesario prolongar IPv4 en las redes de los usuarios y quizás en algunos DC, y core de los operadores que ya lo tienen, pero no lo es para el resto (redes de acceso y core de nuevos operadores, incluso nuevos DCs o ampliaciones de existentes).
    
    Muchos otros dispositivos (camaras IP, smart TVs, etc), nunca lo harán.

Bueno, yo mismo me sorprendo cada día en esto. Estoy haciendo un trabajo de IPv6 para Consumer Electronics (CTA, la organización responsable de CES, representando un negocio de 398 billones de dólares en US) y me he encontrado con la información de un número % impresionante de SmartTVs que desde hace 2 años tienen soporte IPv6 (lo he comprobado personalmente). Igualmente me ha pasado con cámaras IP. Sin decir marcas, pero he comprado unas cámaras tipo dome con Pan y Tilt y otras con PTZ, por unos 30 Euros cada una, y ambas tenían IPv6 - y no eran últimos modelos, de hecho, eran un poco mas baratas que las actuales del mismo fabricante (que ahora valen 50-55 euros) y por eso eran mas baratas.

De los SmartTVs y otros productos de consumo, no puedo desvelar estadísticas de todos los tipos de aparatos que se han analizado. En cuanto pueda lo hago. Pero insisto en que me ha sorprendido muy gratamente, especialmente el crecimiento del año 2017, 2018 y 2019 respecto de años anteriores.
    
    
    > En ambos casos
    > surgiran diferentes bugs. No por que CGN sea IPv4, deja de estar
    > libre de ellos.
    
    La mayoria del codigo IPv4 cuanta con al menos 20 -30 años de uso en 
    producción.
    
    No es que el codigo IPv4 haya sido mejor, o menos horrible. Sino que se 
    ha tenido mas tiempo para emparchar problemas.
    
    P.S.: Lo de arriba no es un argumento contra el despliegue de IPv6. EL 
    despliegue de IPv6 es, un muchos casos, una necesidad. Pero eso no 
    cambia ninguno de los otros aspectos mencionados en este mail.
    -- 
    Fernando Gont
    SI6 Networks
    e-mail: fgont en si6networks.com
    PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
    
    
    
    
    



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

Más información sobre la lista de distribución LACNOG