<br><br><div class="gmail_quote">2010/9/6 Nicolás Ruiz <span dir="ltr"><<a href="mailto:nicoruiz@gmail.com">nicoruiz@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Ahora estoy confundido con los comentarios de Jordi y Fernando. El<br>
mensaje original me dió la impresión que el problema no era que el<br>
port scanning encontrara equipos, sino que el proceso de host<br>
discovery consumió toda la memoria en un equipo de borde. En cuyo caso<br>
el problema es un DoS y la solución depende de liberar recursos<br>
(memoria) antes de tiempo si hay demasiados Host Discovery en<br>
progreso.<br>
<br>
nicolas<br>
<br>
2010/9/6 Fernando Gont <<a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a>>:<br>
> Hola, Jordi,<br>
><br>
> Mis comentarios van entre lineas...<br>
><br>
><br>
>> Al final todo depende de saber hacer bien las cosas.<br>
><br>
> Si, siempre es asi. :-)<br>
><br>
><br>
><br>
>> Si los administradores de redes no utilizan direcciones consecutivas ni<br>
>> patrones localizables, con tecnicas de aleatorizacion, la posibilidad de<br>
>> escannear un /64 sigue estando ahí,<br>
><br>
> Al menos los datos arrojados por el estudio de Malone indican que las<br>
> direcciones  de "privacidad" no son dominantes. Aunque dado que Windows<br>
> utiliza "privacy addresses" por default, uno habria de esperar que este<br>
> fuera el caso en un futuro. *Salvo*¨que se vuelva predominante el uso de<br>
> DHCPv6 para la configuracion de direcciones, y que los mismos asignen<br>
> dichas direcciones con patrones previsibles.<br>
><br>
> Hay mucho por verse, igual. Por ejemplo, las aplicaciones pueden "leak<br>
> out" ("develar"? :-) ) las direcciones utilizadas, por ej. en<br>
> encabezados de mails. En tal caso, incluso con direcciones "privacy" se<br>
> podrian encontrar hosts "vivos"... con el unico detalle que la ventana<br>
> de exposicion seria menor (ya que dichos hosts estarian disponibles en<br>
> dichas direcciones por menos tiempo).<br>
><br>
><br>
>> pero el tiempo necesario para ello sigue<br>
>> siendo tan grande, que es poco practico.<br>
><br>
> Hay que entender que ganando acceso a un unico sistema en una LAN, el<br>
> escaneo se vuelve trivial (por ej., utilizando direcciones multicast,<br>
> sniffing, o lo que sea). -- este es otro factor a tener en cuenta.<br>
><br>
><br>
><br>
>> Y si ademas a cada usuario, incluso<br>
>> a los uruarios residenciales se les entrega un /48, como debe ser, ese<br>
>> tiempo de escaneo de un /64, se multiplica por 65.535 veces ...<br>
><br>
> Por lo que pude leer, en la IETF se esta evaluando asignar a usuarios<br>
> residenciales prefijos mas largos (Es decir, bloques de direcciones mas<br>
> cortos). -- ver discusion en el v6ops de la IETF.<br>
><br>
><br>
><br>
>> Sigo pensando que se tardaran muchos años en llegar al mismo nivel de<br>
>> "facilidad" de hacer port-scanning que con un /24 en IPv4, y el tiempo<br>
>> requerido para ello, pero insisto, depende mucho de que los administradores<br>
>> de redes/seguridad sepan hacer bien su trabajo.<br>
><br>
> Personalmente creo que lo que sucedera es que cambiara la metodologia de<br>
> escaneo. Hoy por hoy se utiliza scanning por fuerza bruta, sin aplicar<br>
> ningun tipo de inteligencia. Se me ocurre que en el futuro esto<br>
> cambiara. Por ej., podria utilizarse Google para identificar direcciones<br>
> IPv6 en mensajes enviados a lista de correo recientemente. O se podrian<br>
> probar direcciones "aleatorias", hasta encontrar un host "vivo", obtener<br>
> el OUI (fabricante de la placa de red), y luego barrer unicamente<br>
> direcciones con esos OUIs, etc.<br>
><br>
> El tiempo dirá...<br>
><br>
> Saludos,<br>
> --<br>
> Fernando Gont<br>
> e-mail: <a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a> || <a href="mailto:fgont@acm.org">fgont@acm.org</a><br>
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
><br>
><br>
><br>
><br>
><br>
> _______________________________________________<br>
> LACNOG mailing list<br>
> <a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
><br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>M.S.I. Hazzim Ivan Anaya Casas<br>Redes y Telefonia<br>Facultad de Contaduria y Administracion<br>Tel (614) 442-00-70<br>Ext. 6704, 6724<br><a href="http://hazzimanaya.com/">http://hazzimanaya.com/</a><br>
<br>