<div dir="ltr"><div><div><div><div><div><div>Hola Jordi,<br><br></div>Reconozco que hace años no sigo los mecanismo de transación o cómo se llamen ahora.<br></div><div><br></div>Para los SPs, las órdenes judiciales que recibo dice "Identifique al usario que utilizó la dirección IP  el día XX/XX/XX a la hora XX:XX".<br><br></div>Hoy en día, la dirección IP es IPv4 y es identificada por el servidor destino (que no tiene relación con el SP y en general es IPv4).<br><br></div>Cómo me salvo con 464XLAT de tener que guardar los logs de los puertos para contestarle al juez si la comunicación es vista por el destino como v4? <br><br></div></div><div>Saludos,<br></div>Roque<br><div> <div><div><div><div><br><br></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-10-21 11:01 GMT+02:00 JORDI PALET MARTINEZ <span dir="ltr"><<a href="mailto:jordi.palet@consulintel.es" target="_blank">jordi.palet@consulintel.es</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de forma inteligente, se reduce la carga del log y su complejidad.<br>
<br>
Además, hay mecanismos de transición que no necesitan CGN, o que permiten identificar los flujos de tráfico sin necesidad del source port, por ejemplo, 464XLAT, dado que basta con tener identificado el prefijo asignado al cliente en IPv6, y por lo tanto aunque el supuesto atacante “sepa” de IPv4 e IPv6 y fuerce a su red a usar IPv4, en realidad en el log se ve que es él, por el prefijo IPv6 fuente, que se usa en la traducción del NAT64.<br>
<br>
El problema que hay es:<br>
1) Muchas legislaciones obligan al ISP a guardar el log para saber de quién es una determinada IP fuente, pero no los puertos.<br>
2) Muchos ISPs tienen, para cumplir con esa legislación, o bien asignaciones estáticas de IP por clientes, o bien sistemas que hacen el log de las mismas, pero no los puertos.<br>
3) Aunque cambiemos la ley para obligar a guardar los puertos, eso puede tardar meses o años, y cualquier cambio legislativo, deber dar un tiempo razonable para implementarlo. ¿Digamos 2 años en total?<br>
4) Los ISPs grandes pueden invertir en sistemas para hacer el log más completo, pero a los pequeños ese cambio legislativo les puede suponer un coste muy oneroso.<br>
5) Todos sabemos que IPv6 hay que desplegarlo sí o sí. Te enfrentas al dilema de si hacerlo ahora o más adelante o si invertir en CGN en lugar de NAT64 para 464XLAT (donde tienes open source, cosa que no hay para el CGN). Creo que la respuesta es obvia.<br>
6) Si el cambio legislativo en lugar de obligar a log del source port, obliga al NO despliegue de CGN, o si se hace, da un plazo máximo de, por ejemplo, 2 años para el despliegue de IPv6, hemos matado dos pájaros de un tiro y estamos haciendo ver a los ISPs, por si no han hecho bien las cuentas, donde está mejor invertido su dinero (CGN frente a despliegue de IPv6 con 464XLAT).<br>
<br>
En resumen, soluciones a medio plazo son absurdas si tienes fijado el camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se logra es con 464XLAT) en las redes de acceso, tal y como ya tienen las redes celulares, siendo el mecanismo de transición que tiene más cientos de millones de usuarios, mucho más que todos los demás juntos. Por algo será, ¿no?<br>
<br>
Saludos,<br>
Jordi<br>
<br>
<br>
-----Mensaje original-----<br>
De: LACNOG <<a href="mailto:lacnog-bounces@lacnic.net">lacnog-bounces@lacnic.net</a>> en nombre de Fernando Gont <<a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>><br>
<span class="">Responder a: Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a>><br>
</span>Fecha: viernes, 20 de octubre de 2017, 11:25<br>
Para: Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a>>, "Carlos M. Martinez" <<a href="mailto:carlosm3011@gmail.com">carlosm3011@gmail.com</a>><br>
Asunto: Re: [lacnog] EUROPOL pide el fin del CGN<br>
<div class="HOEnZb"><div class="h5"><br>
    On 10/17/2017 04:57 PM, Carlos M. Martinez wrote:<br>
    > Tan corto como contundente:<br>
    ><br>
    > <a href="https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online" rel="noreferrer" target="_blank">https://www.europol.europa.eu/<wbr>newsroom/news/are-you-sharing-<wbr>same-ip-address-criminal-law-<wbr>enforcement-call-for-end-of-<wbr>carrier-grade-nat-cgn-to-<wbr>increase-accountability-online</a><br>
<br>
    No es medio similar a "pedir el fin del hambre en la Tierra"?<br>
<br>
    El mortal ISP ha de preguntarse "Genial... como hago para acceder al<br>
    contenido v4-only sin mas direcciones IPv4, ni CGN"?<br>
<br>
    Por otro lado, dado que en la gran mayoria de los casos los sistemas<br>
    soportan IPv4, por que habria el atacante de utilizar IPv6 para atacar?<br>
    Solo para hacerle la vida mas facil a su "contrincante"?<br>
<br>
    --<br>
    Fernando Gont<br>
    SI6 Networks<br>
    e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>
    PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
    ______________________________<wbr>_________________<br>
    LACNOG mailing list<br>
    <a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
    <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>
    Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>
<br>
<br>
<br>
<br>
</div></div><span class="im HOEnZb">******************************<wbr>****************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
<a href="http://www.consulintel.es" rel="noreferrer" target="_blank">http://www.consulintel.es</a><br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
<br>
<br>
</span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/<wbr>mailman/options/lacnog</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br><br>At least I did something<br>Don Draper - Mad Men</div>
</div>