[lacnog] "IPv6 Security Guidance" the la NSA

Fernando Gont fgont en si6networks.com
Mie Ene 25 19:49:42 -03 2023 

Hola, Fernando,

On 25/1/23 19:06, Fernando Frediani wrote:
> Hola Fernando
> Gracias por compartir
> 
> El documento es interesante y al principio habla de algo atrevido que es 
> la intención de migrar la red a solo IPv6. Creo que en estos casos 
> deberían estar planeando usar algún tipo de técnica NAT64 + DNS64 para 
> llegar a hosts solo IPv4 pero mantener la red interna solo IPv6.

Hay que ser serios al respecto. Alguno e.g. probo el soporte de IPv6 en 
GCP, por ejemplo?




> Otro detalle interesante es la recomendación de no usar SLAAC para la 
> configuración automática. En particular, a veces pienso que hay un poco 
> de exageración en este tema de "menor privacidad" cuando se usa la 
> configuración automática, pero puedo entender la preocupación en algunos 
> escenarios específicos.

Creo que es al reves: Argumentar que DHCPv6 es recomendable por q 
cuestiones de privacidad da como para pensar que uno quedaria "fuera" 
con un control antidoping ;-)

En primer lugar, no se puede asegurar ni esperar nada respecto de las 
direcciones IPv6 asignadas via DHCPv6, justamente porque esta fuera del 
control del propio host (mas alla que tambien DHCPv6 tiene nulo soporte 
de direcciones temporales en las implementaciones reales).

Entonces, sie el argumento fuera la privacidad, definitivamente uno 
elegiria SLAAC, y no DHCPv6 (lease: la recomendacion debe ser la 
*opuesta* a la hecha por la NSA).



> También sobre SLACC y la Auto Configuration es algo que nunca me gustó 
> mucho la idea, pero aprendí a vivir con ello. En general, en las redes 
> LAN que configuro, tengo tanto Stateless como Statefull, pero creo que, 
> en general, preferiría algo solo con DHCPv6.

La existencia de SLAAC y DHCPv6 son un artefacto de la historia... y 
probablemente un muy buen ejemplo de como tomar malas deciciones en 
materia de estandarizacion (asi como tambien de alienacion religiosa con 
protocols de comunicaciones :-) ).

Slds cordiales!
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494

Más información sobre la lista de distribución LACNOG