
<br><br><div class="gmail_quote">2010/9/6 Nicolás Ruiz <span dir="ltr"><<a href="mailto:nicoruiz@gmail.com">nicoruiz@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Ahora estoy confundido con los comentarios de Jordi y Fernando. El<br>

mensaje original me dió la impresión que el problema no era que el<br>

port scanning encontrara equipos, sino que el proceso de host<br>

discovery consumió toda la memoria en un equipo de borde. En cuyo caso<br>

el problema es un DoS y la solución depende de liberar recursos<br>

(memoria) antes de tiempo si hay demasiados Host Discovery en<br>

progreso.<br>

<br>

nicolas<br>

<br>

2010/9/6 Fernando Gont <<a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a>>:<br>

> Hola, Jordi,<br>

><br>

> Mis comentarios van entre lineas...<br>

><br>

><br>

>> Al final todo depende de saber hacer bien las cosas.<br>

><br>

> Si, siempre es asi. :-)<br>

><br>

><br>

><br>

>> Si los administradores de redes no utilizan direcciones consecutivas ni<br>

>> patrones localizables, con tecnicas de aleatorizacion, la posibilidad de<br>

>> escannear un /64 sigue estando ahí,<br>

><br>

> Al menos los datos arrojados por el estudio de Malone indican que las<br>

> direcciones  de "privacidad" no son dominantes. Aunque dado que Windows<br>

> utiliza "privacy addresses" por default, uno habria de esperar que este<br>

> fuera el caso en un futuro. *Salvo*¨que se vuelva predominante el uso de<br>

> DHCPv6 para la configuracion de direcciones, y que los mismos asignen<br>

> dichas direcciones con patrones previsibles.<br>

><br>

> Hay mucho por verse, igual. Por ejemplo, las aplicaciones pueden "leak<br>

> out" ("develar"? :-) ) las direcciones utilizadas, por ej. en<br>

> encabezados de mails. En tal caso, incluso con direcciones "privacy" se<br>

> podrian encontrar hosts "vivos"... con el unico detalle que la ventana<br>

> de exposicion seria menor (ya que dichos hosts estarian disponibles en<br>

> dichas direcciones por menos tiempo).<br>

><br>

><br>

>> pero el tiempo necesario para ello sigue<br>

>> siendo tan grande, que es poco practico.<br>

><br>

> Hay que entender que ganando acceso a un unico sistema en una LAN, el<br>

> escaneo se vuelve trivial (por ej., utilizando direcciones multicast,<br>

> sniffing, o lo que sea). -- este es otro factor a tener en cuenta.<br>

><br>

><br>

><br>

>> Y si ademas a cada usuario, incluso<br>

>> a los uruarios residenciales se les entrega un /48, como debe ser, ese<br>

>> tiempo de escaneo de un /64, se multiplica por 65.535 veces ...<br>

><br>

> Por lo que pude leer, en la IETF se esta evaluando asignar a usuarios<br>

> residenciales prefijos mas largos (Es decir, bloques de direcciones mas<br>

> cortos). -- ver discusion en el v6ops de la IETF.<br>

><br>

><br>

><br>

>> Sigo pensando que se tardaran muchos años en llegar al mismo nivel de<br>

>> "facilidad" de hacer port-scanning que con un /24 en IPv4, y el tiempo<br>

>> requerido para ello, pero insisto, depende mucho de que los administradores<br>

>> de redes/seguridad sepan hacer bien su trabajo.<br>

><br>

> Personalmente creo que lo que sucedera es que cambiara la metodologia de<br>

> escaneo. Hoy por hoy se utiliza scanning por fuerza bruta, sin aplicar<br>

> ningun tipo de inteligencia. Se me ocurre que en el futuro esto<br>

> cambiara. Por ej., podria utilizarse Google para identificar direcciones<br>

> IPv6 en mensajes enviados a lista de correo recientemente. O se podrian<br>

> probar direcciones "aleatorias", hasta encontrar un host "vivo", obtener<br>

> el OUI (fabricante de la placa de red), y luego barrer unicamente<br>

> direcciones con esos OUIs, etc.<br>

><br>

> El tiempo dirá...<br>

><br>

> Saludos,<br>

> --<br>

> Fernando Gont<br>

> e-mail: <a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a> || <a href="mailto:fgont@acm.org">fgont@acm.org</a><br>

> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> LACNOG mailing list<br>

> <a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>

> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>

><br>

_______________________________________________<br>

LACNOG mailing list<br>

<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>

<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>

</blockquote></div><br><br clear="all"><br>-- <br>M.S.I. Hazzim Ivan Anaya Casas<br>Redes y Telefonia<br>Facultad de Contaduria y Administracion<br>Tel (614) 442-00-70<br>Ext. 6704, 6724<br><a href="http://hazzimanaya.com/">http://hazzimanaya.com/</a><br>

<br>