Yo estoy 100% de acuerdo con la observacion de Arturo de que las decisiones operativas deberian ser tomadas por los operadores. Si quieren usar /64 para clientes, bien, y si no quieren, bien tambien.<br><br>En mi caso, me niego a usar /64 para WANes como he visto proponer en algun documento, pero bueno, es mi vision de la cuestion nomas :D<br>
<br><div class="gmail_quote">2010/9/7 Arturo Servin <span dir="ltr"><<a href="mailto:aservin@lacnic.net">aservin@lacnic.net</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div style="word-wrap: break-word;"><div><br></div><div><span style="white-space: pre-wrap;"> </span>Preguntas y comentarios en líneas</div><br><div><div class="im"><div>On 7 Sep 2010, at 03:44, JORDI PALET MARTINEZ wrote:</div>
<br><blockquote type="cite"><div><br>Las aplicaciones de las que hablas, precisamente, solo desvelarian<br>direcciones de privacidad, y estas son cambiantes (se pueden configurar para<br>que cambien incluso cada pocos minutos si se requiere, aunque creo que no es<br>
necesario), asi que un ataque no podria tener lugar, dado que aun en el caso<br>de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),<br>NO existiria ya esa direccion.<br></div></blockquote><div><br></div>
</div><div><span style="white-space: pre-wrap;"> </span>Para usuarios end creo que no hay problema. Pero que pasa para la resolución de nombres para estas direcciones dinámicas, por ejemplo el registro MX de un servidor de correo. </div>
<div class="im"><div><br></div><br><blockquote type="cite"><div><br>Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento<br>del resto de la LAN parece trivial dado que un ping multicast a todos los<br>
nodos los revela, SALVO, que como por defecto en muchas plataformas, estas<br>tengan firewall activado por defecto. La seguridad desde hace muchos años ya<br>no es un problema de firewall de "borde" sino de que cada nodo tiene que<br>
estar protegido por si mismo.<br></div></blockquote><div><br></div></div><div><span style="white-space: pre-wrap;"> </span>Hay algunos que no pueden evitarse como "All Routers Address", "All-dhcp-agents", etc. pero eso solo "atacarían" a la infraestructura de red que debería estar protegida. Me queda la duda del "<span style="border-collapse: collapse; font-family: sans-serif; font-size: 13px;">All Nodes Address", se puede filtrar sin afectar la operación del protocolo?</span></div>
<div class="im"><div><br></div><br><blockquote type="cite"><div><br>La discusion en IETF de cambiar la longitud de las asignaciones ya ha tenido<br>lugar en otras ocasiones y nunca ha fructificado y sinceramente, espero que<br>
no ocurra tampoco esta vez. Creo que seria malo, y nos llevaria de nuevo a<br>una situacion de ISPs que restringen el numero de direcciones que asignan a<br>los usuarios, y por tanto LIMITAN SU PROPIO NEGOCIO.<br></div></blockquote>
<div><br></div></div><div><span style="white-space: pre-wrap;"> </span>Si, esperemos que el IETF deje las decisiones operativas a los operadores, pero esa es opinión personal.</div><div class="im"><br><blockquote type="cite">
<div><br>Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas<br>de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun<br>cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),<br>
no seran suficientes para lograr ataques que fructifiquen ni siquiera en una<br>proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.<br></div></blockquote><div><br></div></div><div><span style="white-space: pre-wrap;"> </span>Creo que los mejores momentos del scanning han pasado con IPv4, no dudo que haya técnicas para hacerlo "eficiente" pero nunca llegará a los niveles de facilidad y rapidez que existen hasta ahora.</div>
<div><br></div><div>Saludos,</div><div>-asn</div></div><br></div><br>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>========================<br>Carlos M. Martinez-Cagnazzo<br><a href="http://cagnazzo.name" target="_blank">http://cagnazzo.name</a><br>========================<br>