<div dir="auto"><div>Y yo tambien sólo le contesté a Jordi...</div><div dir="auto"><div class="gmail_extra" dir="auto"><br><div class="gmail_quote">On Oct 23, 2017 3:48 PM, "Roque Gagliano" <<a href="mailto:rgaglian@gmail.com">rgaglian@gmail.com</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Jordi,<br></div><br></div>Si el requerimiento de la justicia viene preguntando por el utilizador de una dirección IPv4, cómo "sé la dirección IPv6"? cómo me ayuda 464XLAT?<font color="#888888"><br><br></font></div><font color="#888888">Roque<br></font><br></div>PS: Mi opinión: la respuesta es obviamente que a una IPv4 externa siempre van a existir múltiples usuarios y por ende hay que logear los puertos sin importar si usamos CGNs o PLAT o otro. Como dice Fernando, se pide la "war peace", lo que es correcto al nivel de político, pero los operadores en esta lista tienen que seguir gestionando la trinchera por un rato.<br><br></div><div class="elided-text"><div class="gmail_extra"><br><div class="gmail_quote">2017-10-23 9:07 GMT+02:00 JORDI PALET MARTINEZ <span dir="ltr"><<a href="mailto:jordi.palet@consulintel.es" target="_blank">jordi.palet@consulintel.es</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hola Roque,<br>
<br>
Como sabes cuál es la dirección IPv6 (prefijo) de cada cliente, cuando una determinada dirección IPv6 (o prefijo) ha sido traducido a una determinada dirección IPv4 en el NAT64, ya sabes que cliente es y no te hace falta saber los puertos en IPv6.<br>
<br>
Saludos,<br>
Jordi<br>
<br>
<br>
-----Mensaje original-----<br>
De: Roque Gagliano <<a href="mailto:rgaglian@gmail.com" target="_blank">rgaglian@gmail.com</a>><br>
Responder a: <<a href="mailto:rgaglian@gmail.com" target="_blank">rgaglian@gmail.com</a>><br>
Fecha: lunes, 23 de octubre de 2017, 2:19<br>
Para: "(IPv6) JORDI PALET MARTINEZ" <<a href="mailto:jordi.palet@consulintel.es" target="_blank">jordi.palet@consulintel.es</a>>, Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br>
<div class="m_-8137089812680425616HOEnZb"><div class="m_-8137089812680425616h5">Asunto: Re: [lacnog] EUROPOL pide el fin del CGN<br>
<br>
Hola Jordi,<br>
<br>
<br>
Reconozco que hace años no sigo los mecanismo de transación o cómo se llamen ahora.<br>
<br>
<br>
Para los SPs, las órdenes judiciales que recibo dice "Identifique al usario que utilizó la dirección IP el día XX/XX/XX a la hora XX:XX".<br>
<br>
<br>
Hoy en día, la dirección IP es IPv4 y es identificada por el servidor destino (que no tiene relación con el SP y en general es IPv4).<br>
<br>
<br>
Cómo me salvo con 464XLAT de tener que guardar los logs de los puertos para contestarle al juez si la comunicación es vista por el destino como v4?<br>
<br>
<br>
<br>
Saludos,<br>
<br>
Roque<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
2017-10-21 11:01 GMT+02:00 JORDI PALET MARTINEZ <<a href="mailto:jordi.palet@consulintel.es" target="_blank">jordi.palet@consulintel.es</a>>:<br>
<br>
Reduciendo al mínimo el uso de CGN desplegando IPv6 y si se hace de forma inteligente, se reduce la carga del log y su complejidad.<br>
<br>
Además, hay mecanismos de transición que no necesitan CGN, o que permiten identificar los flujos de tráfico sin necesidad del source port, por ejemplo, 464XLAT, dado que basta con tener identificado el prefijo asignado al cliente en IPv6, y por lo tanto aunque el supuesto atacante “sepa” de IPv4 e IPv6 y fuerce a su red a usar IPv4, en realidad en el log se ve que es él, por el prefijo IPv6 fuente, que se usa en la traducción del NAT64.<br>
<br>
El problema que hay es:<br>
1) Muchas legislaciones obligan al ISP a guardar el log para saber de quién es una determinada IP fuente, pero no los puertos.<br>
2) Muchos ISPs tienen, para cumplir con esa legislación, o bien asignaciones estáticas de IP por clientes, o bien sistemas que hacen el log de las mismas, pero no los puertos.<br>
3) Aunque cambiemos la ley para obligar a guardar los puertos, eso puede tardar meses o años, y cualquier cambio legislativo, deber dar un tiempo razonable para implementarlo. ¿Digamos 2 años en total?<br>
4) Los ISPs grandes pueden invertir en sistemas para hacer el log más completo, pero a los pequeños ese cambio legislativo les puede suponer un coste muy oneroso.<br>
5) Todos sabemos que IPv6 hay que desplegarlo sí o sí. Te enfrentas al dilema de si hacerlo ahora o más adelante o si invertir en CGN en lugar de NAT64 para 464XLAT (donde tienes open source, cosa que no hay para el CGN). Creo que la respuesta es obvia.<br>
6) Si el cambio legislativo en lugar de obligar a log del source port, obliga al NO despliegue de CGN, o si se hace, da un plazo máximo de, por ejemplo, 2 años para el despliegue de IPv6, hemos matado dos pájaros de un tiro y estamos haciendo ver a los ISPs, por si no han hecho bien las cuentas, donde está mejor invertido su dinero (CGN frente a despliegue de IPv6 con 464XLAT).<br>
<br>
En resumen, soluciones a medio plazo son absurdas si tienes fijado el camino a largo plazo: Despliegue de IPv6-only (lo cual como mejor se logra es con 464XLAT) en las redes de acceso, tal y como ya tienen las redes celulares, siendo el mecanismo de transición que tiene más cientos de millones de usuarios, mucho más que todos los demás juntos. Por algo será, ¿no?<br>
<br>
Saludos,<br>
Jordi<br>
<br>
<br>
-----Mensaje original-----<br>
De: LACNOG <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>> en nombre de Fernando Gont <<a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a>><br>
Responder a: Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br>
Fecha: viernes, 20 de octubre de 2017, 11:25<br>
Para: Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>>, "Carlos M. Martinez" <<a href="mailto:carlosm3011@gmail.com" target="_blank">carlosm3011@gmail.com</a>><br>
Asunto: Re: [lacnog] EUROPOL pide el fin del CGN<br>
<br>
On 10/17/2017 04:57 PM, Carlos M. Martinez wrote:<br>
> Tan corto como contundente:<br>
><br>
> <a href="https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online" rel="noreferrer" target="_blank">https://www.europol.europa.eu/<wbr>newsroom/news/are-you-sharing-<wbr>same-ip-address-criminal-law-e<wbr>nforcement-call-for-end-of-car<wbr>rier-grade-nat-cgn-to-increase<wbr>-accountability-online</a><br>
<br>
No es medio similar a "pedir el fin del hambre en la Tierra"?<br>
<br>
El mortal ISP ha de preguntarse "Genial... como hago para acceder al<br>
contenido v4-only sin mas direcciones IPv4, ni CGN"?<br>
<br>
Por otro lado, dado que en la gran mayoria de los casos los sistemas<br>
soportan IPv4, por que habria el atacante de utilizar IPv6 para atacar?<br>
Solo para hacerle la vida mas facil a su "contrincante"?<br>
<br>
--<br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a><br>
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailma<wbr>n/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailma<wbr>n/options/lacnog</a><br>
<br>
<br>
<br>
<br>
<br>
<br>
******************************<wbr>****************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
<a href="http://www.consulintel.es" rel="noreferrer" target="_blank">http://www.consulintel.es</a><br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
<br>
<br>
______________________________<wbr>_________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailma<wbr>n/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailma<wbr>n/options/lacnog</a><br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
--<br>
<br>
<br>
At least I did something<br>
Don Draper - Mad Men<br>
<br>
<br>
<br>
<br>
<br>
******************************<wbr>****************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
<a href="http://www.consulintel.es" rel="noreferrer" target="_blank">http://www.consulintel.es</a><br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="m_-8137089812680425616gmail_signature" data-smartmail="gmail_signature"><br><br>At least I did something<br>Don Draper - Mad Men</div>
</div>
</div></blockquote></div><br></div></div></div>