<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Preguntas y comentarios en líneas</div><br><div><div>On 7 Sep 2010, at 03:44, JORDI PALET MARTINEZ wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div><br>Las aplicaciones de las que hablas, precisamente, solo desvelarian<br>direcciones de privacidad, y estas son cambiantes (se pueden configurar para<br>que cambien incluso cada pocos minutos si se requiere, aunque creo que no es<br>necesario), asi que un ataque no podria tener lugar, dado que aun en el caso<br>de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),<br>NO existiria ya esa direccion.<br></div></blockquote><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Para usuarios end creo que no hay problema. Pero que pasa para la resolución de nombres para estas direcciones dinámicas, por ejemplo el registro MX de un servidor de correo. </div><div><br></div><br><blockquote type="cite"><div><br>Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento<br>del resto de la LAN parece trivial dado que un ping multicast a todos los<br>nodos los revela, SALVO, que como por defecto en muchas plataformas, estas<br>tengan firewall activado por defecto. La seguridad desde hace muchos años ya<br>no es un problema de firewall de "borde" sino de que cada nodo tiene que<br>estar protegido por si mismo.<br></div></blockquote><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Hay algunos que no pueden evitarse como "All Routers Address", "All-dhcp-agents", etc. pero eso solo "atacarían" a la infraestructura de red que debería estar protegida. Me queda la duda del "<span class="Apple-style-span" style="border-collapse: collapse; font-family: sans-serif; font-size: 13px; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; ">All Nodes Address", se puede filtrar sin afectar la operación del protocolo?</span></div><meta charset="utf-8"><div><br></div><br><blockquote type="cite"><div><br>La discusion en IETF de cambiar la longitud de las asignaciones ya ha tenido<br>lugar en otras ocasiones y nunca ha fructificado y sinceramente, espero que<br>no ocurra tampoco esta vez. Creo que seria malo, y nos llevaria de nuevo a<br>una situacion de ISPs que restringen el numero de direcciones que asignan a<br>los usuarios, y por tanto LIMITAN SU PROPIO NEGOCIO.<br></div></blockquote><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Si, esperemos que el IETF deje las decisiones operativas a los operadores, pero esa es opinión personal.</div><br><blockquote type="cite"><div><br>Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas<br>de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun<br>cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),<br>no seran suficientes para lograr ataques que fructifiquen ni siquiera en una<br>proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.<br></div></blockquote><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Creo que los mejores momentos del scanning han pasado con IPv4, no dudo que haya técnicas para hacerlo "eficiente" pero nunca llegará a los niveles de facilidad y rapidez que existen hasta ahora.</div><div><br></div><div>Saludos,</div><div>-asn</div></div><br></body></html>