[lacnog] "IPv6 Security Guidance" de la NSA

Jue Ene 26 04:19:39 -03 2023

Hola, Henri,

On 25/1/23 20:49, Henri Alves de Godoy wrote:
[...]
> 
>     Hay que ser serios al respecto. Alguno e.g. probo el soporte de IPv6 en
>     GCP, por ejemplo?
> 
> 
> Creo que no lo probaron, porque GCP no admite solo IPv6, solo AWS lo hace.

No solo eso. El soporte es *malisimo*.

> Incluso en la región de Sao Paulo/Brasil del GCP, ni siquiera hay dual 
> stack todavía :-(( . Mientras que en Chile, la doble pila es posible.

Dual Stack si tenes. Pero hay cosas muy "graciosas". Por ejemplo, no 
soportan VMs con dos interfaces de red...

>     Entonces, sie el argumento fuera la privacidad, definitivamente uno
>     elegiria SLAAC, y no DHCPv6 (lease: la recomendacion debe ser la
>     *opuesta* a la hecha por la NSA).
> 
> 
> Yo creo que muchos todavía vienen con la idea que siempre tuvieron con 
> DHCPv4 y piensan lo mismo con DHCPv6. Además, muchos todavía tienen en 
> mente DHCP como un mecanismo complementario para la auditoría y el 
> registro, lo cual es incorrecto.

Si la gente quiere DHCP, que lo use (si puede ;-) ).

A lo que iba es que argumentar "Uso DHCPv6 por cuestiones de privacidad" 
es un sinsentido.

>      > También sobre SLACC y la Auto Configuration es algo que nunca me
>     gustó
>      > mucho la idea, pero aprendí a vivir con ello. En general, en las
>     redes
>      > LAN que configuro, tengo tanto Stateless como Statefull, pero
>     creo que,
>      > en general, preferiría algo solo con DHCPv6.
> 
>     La existencia de SLAAC y DHCPv6 son un artefacto de la historia... y
>     probablemente un muy buen ejemplo de como tomar malas deciciones en
>     materia de estandarizacion (asi como tambien de alienacion religiosa
>     con
>     protocols de comunicaciones :-) ).
> 
> SLAAC es práctico, fácil y eficiente 

Siempre y cuando hagas cosas muy simples.

Por ejemplo, los entornos multi-router/multi-upstream funcionan muy mal 
--- bah.... no funcionan.

Slds!
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494