[lacnog] Problema de seguridad en Junos e IPv6

Mie Ene 22 10:56:45 GMT+3 2020

On 22/1/20 09:30, JORDI PALET MARTINEZ via LACNOG wrote:
> Hola Fernando,
> 
> 
> El 22/1/20 12:34, "Fernando Gont" <fgont en si6networks.com> escribió:
> 
> On 22/1/20 07:34, JORDI PALET MARTINEZ via LACNOG wrote:
>> Jaja, no había visto la broma de Tomás ... ni que yo fuera el 
>> causante de todos los males de IPv6!
>> 
>> Yo no concuerdo con Fernando. Eso depende de cada implementación,
>> de cómo hace el fabricante su trabajo. Esta claro que todo es
>> mejorable, pero también esta claro que IPv4 sigue teniendo muchas 
>> vulnerabilidades, que dependen tanto del protocolo como de las 
>> implementaciones de determinados fabricantes.
> 
> Podes listarlas? Al menos 5? -- porque sino corremos el riesgo de
> entrar en lo que en Maradonia conocemos como "vatir fruta
> indiscriminada e impunemente" :-)
> 
> No guardo registro de los emails que me llegan con vulnerabilidades,
> fácil que varias cada mes, lo siento. Pero es fácil hacer una
> búsqueda en google: "ipv4 vulnerabilities 2019".

No veo una sola que tenga que ver con el protocolo ipv4.

>> Ningún "software" se libra nunca de eso. Teóricamente a más años
>> que pasen, menos vulnerabilidades pero la práctica a veces nos
>> lleva la contraria.
> 
> La superficie de ataque solo se incrementa si con el tiempo se
> agregan mas features de lo que se remueven cosas.
> 
> No sólo. A veces hay cosas que pasan desapercibidas, y por
> investigadores, o combinaciones de diversas causas, incluso
> casualidades, salen a flote.

La posibilidad de que algo pase desapercibido con una tecnologia probada
tanto tiempo en produccion como IPv4 es considerablemente menor que en
el caso de ipv6, cuyo tiempo en produccion, comparativamente, es marginal.

>> Además, seamos prácticos, no nos queda otra. IPv6 es lo que hay,
>> IPv4 "ya no hay más". Si se pretende dejar a un lado IPv6, las 
>> vulnerabilidades, bugs, etc., iran saliendo con el uso de CGN.
> 
> Estas mezclando peras con bananas... o mas bien peras con vino
> tinto.
> 
> No estoy mezclando nada, simplemente me atengo a los hechos, y tu lo
> confirmas. Simplemente trato de evitar que alguien se lleve la
> sensación de que "como todavía pueden surgir mas vulnerabilidades de
> IPv6, no hay que usarlo hasta que estén todas descubiertas y
> resueltas" porque entonces nunca usaríamos ningún software!

Como todo en la vida, depende del contexto.

En aplicaciones mas bien criticas, uno ciertamente preferiria usar IPv4,
hasta que no le quede otra.

Seria bastante complicado de justificar un hackeo via ipv6 de un
servicio critico, cuando la realidad es que hoy dia nadie puede
prescindir de ipv4.

EN lo que respecta a los usuarios generales, uno no se haria tal
problema,, ya que en lineas generales la calidad de todas las partes
involucradas suele ser bastante mala.

> Reconocer problemas no implica dejar de lado. Por otro lado, no se
> cual seria la logica de que lo que no aparece via IPv6 necesariamente
> aparece en CGNs.
> 
> Quizás no me explique bien. Quiero decir, que si no usas IPv6, vas a
> tener que usar CGN. Y ello implica que ahí también hay posibilidad de
> que surjan mas vulnerabilidades y problemas en general.

El dispositivo donde aplica la vulnerabilidad es diferente. Si yo soy un
banco, realmente me importa muy poco las vulnerabilidades que pueda
tener el CGNAT que utiliza tu ISP para que vos puedas acceder a mis
sistemas via IPv4.

>> Es decir, o tenemos un camino a largo plazo (IPv6), o tenemos un 
>> camino intermedio a medio plazo, mas costoso (CGN y otras tecnicas 
>> para prolongar artificialmente la vida de IPv4).
> 
> La vida de IPv4 es necesario prolongarla, porque mas allá que los 
> grandes proveedores de contenido hayan desplegado IPv6, la mayoria
> del resto de los mortales no lo ha hecho.
> 
> Es necesario prolongar IPv4 en las redes de los usuarios

Ahi iba, justamente.

> Muchos otros dispositivos (camaras IP, smart TVs, etc), nunca lo
> harán.
> 
> Bueno, yo mismo me sorprendo cada día en esto. Estoy haciendo un
> trabajo de IPv6 para Consumer Electronics (CTA, la organización
> responsable de CES, representando un negocio de 398 billones de
> dólares en US) y me he encontrado con la información de un número %
> impresionante de SmartTVs que desde hace 2 años tienen soporte IPv6
> (lo he comprobado personalmente). Igualmente me ha pasado con cámaras
> IP. Sin decir marcas, pero he comprado unas cámaras tipo dome con Pan
> y Tilt y otras con PTZ, por unos 30 Euros cada una, y ambas tenían
> IPv6 - y no eran últimos modelos, de hecho, eran un poco mas baratas
> que las actuales del mismo fabricante (que ahora valen 50-55 euros) y
> por eso eran mas baratas.

No es el caso ni de Tp-link, ni de Genius, ni de Belkin, ni de....

Tampoco lo soportan dispositivos smart-plugs ni de tp-link, ni de dlink,
ni otros.

Ni hablar de impresoras... q muchisimas de ellas no tendran ipv6 por el
resto de sus vidas.

Tan asi es la cosa que el v6ops está proponiendo una optimizacion a 
464xlat por este motivo 
(https://tools.ietf.org/html/draft-ietf-v6ops-464xlat-optimization-00) 
-- del cual sos co-autor ;-)

Imagino que si el numero de smart tvs fuera mayoritariamente dual-stack, 
no estarian trabajando en eso ;-)

> De los SmartTVs y otros productos de consumo, no puedo desvelar
> estadísticas de todos los tipos de aparatos que se han analizado. En
> cuanto pueda lo hago. Pero insisto en que me ha sorprendido muy
> gratamente, especialmente el crecimiento del año 2017, 2018 y 2019
> respecto de años anteriores.

El INDEC de Argentina tenia estadisticas satisfactorias, tambien.

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492