[lacnog] Problema de seguridad en Junos e IPv6

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mie Ene 22 12:28:26 GMT+3 2020


Hola Fernando,
 

El 22/1/20 14:59, "Fernando Gont" <fgont en si6networks.com> escribió:

    On 22/1/20 09:30, JORDI PALET MARTINEZ via LACNOG wrote:
    > Hola Fernando,
    > 
    > 
    > El 22/1/20 12:34, "Fernando Gont" <fgont en si6networks.com> escribió:
    > 
    > On 22/1/20 07:34, JORDI PALET MARTINEZ via LACNOG wrote:
    >> Jaja, no había visto la broma de Tomás ... ni que yo fuera el 
    >> causante de todos los males de IPv6!
    >> 
    >> Yo no concuerdo con Fernando. Eso depende de cada implementación,
    >> de cómo hace el fabricante su trabajo. Esta claro que todo es
    >> mejorable, pero también esta claro que IPv4 sigue teniendo muchas 
    >> vulnerabilidades, que dependen tanto del protocolo como de las 
    >> implementaciones de determinados fabricantes.
    > 
    > Podes listarlas? Al menos 5? -- porque sino corremos el riesgo de
    > entrar en lo que en Maradonia conocemos como "vatir fruta
    > indiscriminada e impunemente" :-)
    > 
    > No guardo registro de los emails que me llegan con vulnerabilidades,
    > fácil que varias cada mes, lo siento. Pero es fácil hacer una
    > búsqueda en google: "ipv4 vulnerabilities 2019".
    
    No veo una sola que tenga que ver con el protocolo ipv4.
    
Debe ser que las búsquedas desde diferentes partes del mundo arrojan resultados diferentes. Por citar algunos que a mi me salen (tal cual, y en el orden en que me salen), la primera media docena:

https://nvd.nist.gov/vuln/detail/CVE-2019-12664
https://nvd.nist.gov/vuln/detail/CVE-2019-12256?cpeVersion=2.2
https://www.cvedetails.com/cve/CVE-2019-15239/
https://www.cvedetails.com/cve/CVE-2019-11683/
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10965
https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-12256

Si lo he visto bien, son todas del ultimo trimestre de 2019 (las he abierto y visto muy por encima).
    
    
    >> Ningún "software" se libra nunca de eso. Teóricamente a más años
    >> que pasen, menos vulnerabilidades pero la práctica a veces nos
    >> lleva la contraria.
    > 
    > La superficie de ataque solo se incrementa si con el tiempo se
    > agregan mas features de lo que se remueven cosas.
    > 
    > No sólo. A veces hay cosas que pasan desapercibidas, y por
    > investigadores, o combinaciones de diversas causas, incluso
    > casualidades, salen a flote.
    
    La posibilidad de que algo pase desapercibido con una tecnologia probada
    tanto tiempo en produccion como IPv4 es considerablemente menor que en
    el caso de ipv6, cuyo tiempo en produccion, comparativamente, es marginal.
    
Estadísticamente estamos de acuerdo, pero las cosas no siempre son "estadísticamente correctas"
    
    
    >> Además, seamos prácticos, no nos queda otra. IPv6 es lo que hay,
    >> IPv4 "ya no hay más". Si se pretende dejar a un lado IPv6, las 
    >> vulnerabilidades, bugs, etc., iran saliendo con el uso de CGN.
    > 
    > Estas mezclando peras con bananas... o mas bien peras con vino
    > tinto.
    > 
    > No estoy mezclando nada, simplemente me atengo a los hechos, y tu lo
    > confirmas. Simplemente trato de evitar que alguien se lleve la
    > sensación de que "como todavía pueden surgir mas vulnerabilidades de
    > IPv6, no hay que usarlo hasta que estén todas descubiertas y
    > resueltas" porque entonces nunca usaríamos ningún software!
    
    Como todo en la vida, depende del contexto.
    
    En aplicaciones mas bien criticas, uno ciertamente preferiria usar IPv4,
    hasta que no le quede otra.
    
    Seria bastante complicado de justificar un hackeo via ipv6 de un
    servicio critico, cuando la realidad es que hoy dia nadie puede
    prescindir de ipv4.
    
    
    EN lo que respecta a los usuarios generales, uno no se haria tal
    problema,, ya que en lineas generales la calidad de todas las partes
    involucradas suele ser bastante mala.
    
    
    
    
    > Reconocer problemas no implica dejar de lado. Por otro lado, no se
    > cual seria la logica de que lo que no aparece via IPv6 necesariamente
    > aparece en CGNs.
    > 
    > Quizás no me explique bien. Quiero decir, que si no usas IPv6, vas a
    > tener que usar CGN. Y ello implica que ahí también hay posibilidad de
    > que surjan mas vulnerabilidades y problemas en general.
    
    El dispositivo donde aplica la vulnerabilidad es diferente. Si yo soy un
    banco, realmente me importa muy poco las vulnerabilidades que pueda
    tener el CGNAT que utiliza tu ISP para que vos puedas acceder a mis
    sistemas via IPv4.
    
Precisamente has puesto un ejemplo perfecto. No puedo hablar del caso, pero hubo un banco que sufrió una vulnerabilidad importante, cuando algunos ISPs del país en cuestión empezaron a usar CGN, y era fácil confundir sesiones de usuarios ... El software estaba mal hecho, si!, pero las vulnerabilidades no son otra cosa que software mal hecho. Hay que ver todo el contexto. Software es software, y los fallos se pueden producir en muchas partes de la cadena entre el usuario final y el proveedor del servicio.     
    
    
    >> Es decir, o tenemos un camino a largo plazo (IPv6), o tenemos un 
    >> camino intermedio a medio plazo, mas costoso (CGN y otras tecnicas 
    >> para prolongar artificialmente la vida de IPv4).
    > 
    > La vida de IPv4 es necesario prolongarla, porque mas allá que los 
    > grandes proveedores de contenido hayan desplegado IPv6, la mayoria
    > del resto de los mortales no lo ha hecho.
    > 
    > Es necesario prolongar IPv4 en las redes de los usuarios
    
    Ahi iba, justamente.
    
    
    
    > Muchos otros dispositivos (camaras IP, smart TVs, etc), nunca lo
    > harán.
    > 
    > Bueno, yo mismo me sorprendo cada día en esto. Estoy haciendo un
    > trabajo de IPv6 para Consumer Electronics (CTA, la organización
    > responsable de CES, representando un negocio de 398 billones de
    > dólares en US) y me he encontrado con la información de un número %
    > impresionante de SmartTVs que desde hace 2 años tienen soporte IPv6
    > (lo he comprobado personalmente). Igualmente me ha pasado con cámaras
    > IP. Sin decir marcas, pero he comprado unas cámaras tipo dome con Pan
    > y Tilt y otras con PTZ, por unos 30 Euros cada una, y ambas tenían
    > IPv6 - y no eran últimos modelos, de hecho, eran un poco mas baratas
    > que las actuales del mismo fabricante (que ahora valen 50-55 euros) y
    > por eso eran mas baratas.
    
    No es el caso ni de Tp-link, ni de Genius, ni de Belkin, ni de....

Depende mucho del tipo de dispositivo, no podemos hablar de forma genérica.
    
    Tampoco lo soportan dispositivos smart-plugs ni de tp-link, ni de dlink,
    ni otros.
    
    Ni hablar de impresoras... q muchisimas de ellas no tendran ipv6 por el
    resto de sus vidas.

En cuanto a impresoras discrepo. He visto muchos fabricantes y modelos de impresoras con IPv6 desde hace mas de media docena de años.
    
    Tan asi es la cosa que el v6ops está proponiendo una optimizacion a 
    464xlat por este motivo 
    (https://tools.ietf.org/html/draft-ietf-v6ops-464xlat-optimization-00) 
    -- del cual sos co-autor ;-)

Obvio porque no todos los usuarios cambian su SmartTV ahora o hace 2 años cuando han empezado a salir con IPv6, si lo habían comprado justo hace 3 años. Y si le podemos dar solución es bueno para el despliegue de IPv6.

El problema es mas, de todos modos, por los STBs, que generalmente son proporcionados por el ISP, sin posibilidad de actualizar el firmware (porque el fabricante quiere venderte otro), en este caso hay mas retraso y menos "renovación" que con los SmartTVs.
    
    Imagino que si el numero de smart tvs fuera mayoritariamente dual-stack, 
    no estarian trabajando en eso ;-)
    
Los SmartTVs, los propios fabricantes se aseguran de que lo cambies con mas frecuencia, porque deja de funcionar hasta YouTube!
    
    > De los SmartTVs y otros productos de consumo, no puedo desvelar
    > estadísticas de todos los tipos de aparatos que se han analizado. En
    > cuanto pueda lo hago. Pero insisto en que me ha sorprendido muy
    > gratamente, especialmente el crecimiento del año 2017, 2018 y 2019
    > respecto de años anteriores.
    
    El INDEC de Argentina tenia estadisticas satisfactorias, tambien.
    
Supongo que es algún organismo público ... como el INE en España. Lo menos fiable del mundo! Pero las estadísticas de una asociación de fabricantes es muy diferente.
    
    -- 
    Fernando Gont
    SI6 Networks
    e-mail: fgont en si6networks.com
    PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
    
    
    
    
    



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.





Más información sobre la lista de distribución LACNOG