<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#ffffff">
<font size="-1">Si, hay dos temas ahi. Lo que paso es que la
discusion derivo para el lado de la feasibilidad de los escaneos
en IPv6.</font><br>
<br>
On 9/6/10 10:52 PM, Nicolás Ruiz wrote:
<blockquote
cite="mid:AANLkTimUn75pPw5TJyqPPpQ7i5rBaU0t_7BhMaakeTMZ@mail.gmail.com"
type="cite">
<pre wrap="">Ahora estoy confundido con los comentarios de Jordi y Fernando. El
mensaje original me dió la impresión que el problema no era que el
port scanning encontrara equipos, sino que el proceso de host
discovery consumió toda la memoria en un equipo de borde. En cuyo caso
el problema es un DoS y la solución depende de liberar recursos
(memoria) antes de tiempo si hay demasiados Host Discovery en
progreso.
nicolas
2010/9/6 Fernando Gont <a class="moz-txt-link-rfc2396E" href="mailto:fernando@gont.com.ar"><fernando@gont.com.ar></a>:
</pre>
<blockquote type="cite">
<pre wrap="">Hola, Jordi,
Mis comentarios van entre lineas...
</pre>
<blockquote type="cite">
<pre wrap="">Al final todo depende de saber hacer bien las cosas.
</pre>
</blockquote>
<pre wrap="">
Si, siempre es asi. :-)
</pre>
<blockquote type="cite">
<pre wrap="">Si los administradores de redes no utilizan direcciones consecutivas ni
patrones localizables, con tecnicas de aleatorizacion, la posibilidad de
escannear un /64 sigue estando ahí,
</pre>
</blockquote>
<pre wrap="">
Al menos los datos arrojados por el estudio de Malone indican que las
direcciones de "privacidad" no son dominantes. Aunque dado que Windows
utiliza "privacy addresses" por default, uno habria de esperar que este
fuera el caso en un futuro. *Salvo*¨que se vuelva predominante el uso de
DHCPv6 para la configuracion de direcciones, y que los mismos asignen
dichas direcciones con patrones previsibles.
Hay mucho por verse, igual. Por ejemplo, las aplicaciones pueden "leak
out" ("develar"? :-) ) las direcciones utilizadas, por ej. en
encabezados de mails. En tal caso, incluso con direcciones "privacy" se
podrian encontrar hosts "vivos"... con el unico detalle que la ventana
de exposicion seria menor (ya que dichos hosts estarian disponibles en
dichas direcciones por menos tiempo).
</pre>
<blockquote type="cite">
<pre wrap="">pero el tiempo necesario para ello sigue
siendo tan grande, que es poco practico.
</pre>
</blockquote>
<pre wrap="">
Hay que entender que ganando acceso a un unico sistema en una LAN, el
escaneo se vuelve trivial (por ej., utilizando direcciones multicast,
sniffing, o lo que sea). -- este es otro factor a tener en cuenta.
</pre>
<blockquote type="cite">
<pre wrap="">Y si ademas a cada usuario, incluso
a los uruarios residenciales se les entrega un /48, como debe ser, ese
tiempo de escaneo de un /64, se multiplica por 65.535 veces ...
</pre>
</blockquote>
<pre wrap="">
Por lo que pude leer, en la IETF se esta evaluando asignar a usuarios
residenciales prefijos mas largos (Es decir, bloques de direcciones mas
cortos). -- ver discusion en el v6ops de la IETF.
</pre>
<blockquote type="cite">
<pre wrap="">Sigo pensando que se tardaran muchos años en llegar al mismo nivel de
"facilidad" de hacer port-scanning que con un /24 en IPv4, y el tiempo
requerido para ello, pero insisto, depende mucho de que los administradores
de redes/seguridad sepan hacer bien su trabajo.
</pre>
</blockquote>
<pre wrap="">
Personalmente creo que lo que sucedera es que cambiara la metodologia de
escaneo. Hoy por hoy se utiliza scanning por fuerza bruta, sin aplicar
ningun tipo de inteligencia. Se me ocurre que en el futuro esto
cambiara. Por ej., podria utilizarse Google para identificar direcciones
IPv6 en mensajes enviados a lista de correo recientemente. O se podrian
probar direcciones "aleatorias", hasta encontrar un host "vivo", obtener
el OUI (fabricante de la placa de red), y luego barrer unicamente
direcciones con esos OUIs, etc.
El tiempo dirá...
Saludos,
--
Fernando Gont
e-mail: <a class="moz-txt-link-abbreviated" href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a> || <a class="moz-txt-link-abbreviated" href="mailto:fgont@acm.org">fgont@acm.org</a>
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
</pre>
</blockquote>
<pre wrap="">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
</pre>
</blockquote>
</body>
</html>