[lacnog] "IPv6 Security Guidance" the la NSA

Henri Alves de Godoy henri.godoy en fca.unicamp.br
Mie Ene 25 20:49:35 -03 2023


Hola a los dos Fernandos,

Em qua., 25 de jan. de 2023 às 19:50, Fernando Gont <fgont en si6networks.com>
escreveu:

> Hola, Fernando,
>
> On 25/1/23 19:06, Fernando Frediani wrote:
> > Hola Fernando
> > Gracias por compartir
> >
> > El documento es interesante y al principio habla de algo atrevido que es
> > la intención de migrar la red a solo IPv6. Creo que en estos casos
> > deberían estar planeando usar algún tipo de técnica NAT64 + DNS64 para
> > llegar a hosts solo IPv4 pero mantener la red interna solo IPv6.
>
> Hay que ser serios al respecto. Alguno e.g. probo el soporte de IPv6 en
> GCP, por ejemplo?
>
>
Creo que no lo probaron, porque GCP no admite solo IPv6, solo AWS lo hace.

Incluso en la región de Sao Paulo/Brasil del GCP, ni siquiera hay dual
stack todavía :-(( . Mientras que en Chile, la doble pila es posible.



>
> > Otro detalle interesante es la recomendación de no usar SLAAC para la
> > configuración automática. En particular, a veces pienso que hay un poco
> > de exageración en este tema de "menor privacidad" cuando se usa la
> > configuración automática, pero puedo entender la preocupación en algunos
> > escenarios específicos.
>
> Creo que es al reves: Argumentar que DHCPv6 es recomendable por q
> cuestiones de privacidad da como para pensar que uno quedaria "fuera"
> con un control antidoping ;-)
>
> En primer lugar, no se puede asegurar ni esperar nada respecto de las
> direcciones IPv6 asignadas via DHCPv6, justamente porque esta fuera del
> control del propio host (mas alla que tambien DHCPv6 tiene nulo soporte
> de direcciones temporales en las implementaciones reales).
>
> Entonces, sie el argumento fuera la privacidad, definitivamente uno
> elegiria SLAAC, y no DHCPv6 (lease: la recomendacion debe ser la
> *opuesta* a la hecha por la NSA).
>

Yo creo que muchos todavía vienen con la idea que siempre tuvieron con
DHCPv4 y piensan lo mismo con DHCPv6. Además, muchos todavía tienen en
mente DHCP como un mecanismo complementario para la auditoría y el
registro, lo cual es incorrecto.


>
>
> > También sobre SLACC y la Auto Configuration es algo que nunca me gustó
> > mucho la idea, pero aprendí a vivir con ello. En general, en las redes
> > LAN que configuro, tengo tanto Stateless como Statefull, pero creo que,
> > en general, preferiría algo solo con DHCPv6.
>
> La existencia de SLAAC y DHCPv6 son un artefacto de la historia... y
> probablemente un muy buen ejemplo de como tomar malas deciciones en
> materia de estandarizacion (asi como tambien de alienacion religiosa con
> protocols de comunicaciones :-) ).
>


SLAAC es práctico, fácil y eficiente y maneja bien los problemas de
privacidad. La única dificultad que veo está relacionada con el registro y
los registros de auditoría, que requiere un sistema como RADIUS/portal
cautivo o 802.1x, por ejemplo.

Solo DHCPv6 según el escenario no es posible, tenemos que combinar las 2
técnicas de entrega.

Considero que al documento de la NSA le faltó un enfoque con consulta de
expertos y falta de experiencia real en la práctica en adopción y casos.

Saludos a todos !
Henri



>
> Slds cordiales!
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>


--
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230125/5cd32f5b/attachment.htm>


Más información sobre la lista de distribución LACNOG