[lacnog] "IPv6 Security Guidance" the la NSA
Douglas Fischer
fischerdouglas en gmail.com
Mie Ene 25 21:09:38 -03 2023
Vou tomar a liberdade de escrever em português.
Henri como sempre foi certeiro!
Dois pontos de vista a serem analisados.
Privacidade, secrecidade, neutralidade...
Esses termos não se alinham muito bem com outras palavras frequentemente
usadas em ambientes corporativos: DLP, 802.1x, controle de acesso.
Outro ponto controverso do SLAAC é na implementação de técnicas de
anti-spoofing de camada 2. Também muito importante em ambientes
corporativos com grandes preocupações com segurança (redes industriais tem
essa peculiaridade bem presente).
Qual é o chapéu que a NSA estava usando quando publicou esse documento?
Aquele que imaginamos em filmes...
Ou a entidade que tem que definir parâmetros de segurança para todas as
demais instituições governamentais do país?
Em qua., 25 de jan. de 2023 20:50, Henri Alves de Godoy <
henri.godoy en fca.unicamp.br> escreveu:
> Hola a los dos Fernandos,
>
> Em qua., 25 de jan. de 2023 às 19:50, Fernando Gont <fgont en si6networks.com>
> escreveu:
>
>> Hola, Fernando,
>>
>> On 25/1/23 19:06, Fernando Frediani wrote:
>> > Hola Fernando
>> > Gracias por compartir
>> >
>> > El documento es interesante y al principio habla de algo atrevido que
>> es
>> > la intención de migrar la red a solo IPv6. Creo que en estos casos
>> > deberían estar planeando usar algún tipo de técnica NAT64 + DNS64 para
>> > llegar a hosts solo IPv4 pero mantener la red interna solo IPv6.
>>
>> Hay que ser serios al respecto. Alguno e.g. probo el soporte de IPv6 en
>> GCP, por ejemplo?
>>
>>
> Creo que no lo probaron, porque GCP no admite solo IPv6, solo AWS lo hace.
>
> Incluso en la región de Sao Paulo/Brasil del GCP, ni siquiera hay dual
> stack todavía :-(( . Mientras que en Chile, la doble pila es posible.
>
>
>
>>
>> > Otro detalle interesante es la recomendación de no usar SLAAC para la
>> > configuración automática. En particular, a veces pienso que hay un poco
>> > de exageración en este tema de "menor privacidad" cuando se usa la
>> > configuración automática, pero puedo entender la preocupación en
>> algunos
>> > escenarios específicos.
>>
>> Creo que es al reves: Argumentar que DHCPv6 es recomendable por q
>> cuestiones de privacidad da como para pensar que uno quedaria "fuera"
>> con un control antidoping ;-)
>>
>> En primer lugar, no se puede asegurar ni esperar nada respecto de las
>> direcciones IPv6 asignadas via DHCPv6, justamente porque esta fuera del
>> control del propio host (mas alla que tambien DHCPv6 tiene nulo soporte
>> de direcciones temporales en las implementaciones reales).
>>
>> Entonces, sie el argumento fuera la privacidad, definitivamente uno
>> elegiria SLAAC, y no DHCPv6 (lease: la recomendacion debe ser la
>> *opuesta* a la hecha por la NSA).
>>
>
> Yo creo que muchos todavía vienen con la idea que siempre tuvieron con
> DHCPv4 y piensan lo mismo con DHCPv6. Además, muchos todavía tienen en
> mente DHCP como un mecanismo complementario para la auditoría y el
> registro, lo cual es incorrecto.
>
>
>>
>>
>> > También sobre SLACC y la Auto Configuration es algo que nunca me gustó
>> > mucho la idea, pero aprendí a vivir con ello. En general, en las redes
>> > LAN que configuro, tengo tanto Stateless como Statefull, pero creo que,
>> > en general, preferiría algo solo con DHCPv6.
>>
>> La existencia de SLAAC y DHCPv6 son un artefacto de la historia... y
>> probablemente un muy buen ejemplo de como tomar malas deciciones en
>> materia de estandarizacion (asi como tambien de alienacion religiosa con
>> protocols de comunicaciones :-) ).
>>
>
>
> SLAAC es práctico, fácil y eficiente y maneja bien los problemas de
> privacidad. La única dificultad que veo está relacionada con el registro y
> los registros de auditoría, que requiere un sistema como RADIUS/portal
> cautivo o 802.1x, por ejemplo.
>
> Solo DHCPv6 según el escenario no es posible, tenemos que combinar las 2
> técnicas de entrega.
>
> Considero que al documento de la NSA le faltó un enfoque con consulta de
> expertos y falta de experiencia real en la práctica en adopción y casos.
>
> Saludos a todos !
> Henri
>
>
>
>>
>> Slds cordiales!
>> --
>> Fernando Gont
>> SI6 Networks
>> e-mail: fgont en si6networks.com
>> PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
> --
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230125/ead681b1/attachment-0001.htm>
Más información sobre la lista de distribución LACNOG