<div dir="auto"> Comparto que no tiene sentido. Sin embargo la gente lo hace igual.  <br><br><div id="cm_footer" class="cm_footer"><div id="cm_sent_from">via <a href="https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.14&pv=12.1.4&source=email_footer_2">Newton Mail</a></div></div><br><div id="cm_replymail_content_wrap"><div class="cm_replymail_content_1554335962_wrapper">On Wed, Apr 3, 2019 at 8:44 PM,                      Fernando Gont <fgont@si6networks.com> wrote:<br><div id="cm_replymail_content_1554335962" style="overflow: visible;"><blockquote style="margin:0;border-left: #D6D6D6 1px solid;padding-left: 10px;">Hablar de "IPv6 es inseguro" no tiene mucho sentido (mi elaboracion<br>sobre el tema, en la Pregunta 1.1, aqui:<br>https://www.internetsociety.org/deploy360/ipv6/security/faq/).<br><br>Bugs en implementaciones se han encontrado muchos:<br>https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ipv6  . Muchas<br>implementaciones han tenido DoS basados en paquetes fragmentados, etc.<br>-- es decir, se ha repetido la historia de IPv4 (en materia de<br>implementaciones). Sin ir mas lejos, el problema de NCE al que hace<br>referencia este CVE ha afectado a *muchisimos* vendors. Hay hasta RFCs<br>sobre el tema (!).<br><br>Sin embargo, aquellos que hemos realizado pruebas sobre este tipo de<br>cuestiones, hemos abandonado la practica de reportar cosas a vendors --<br>simplemente nos ha resultado una perdida de tiempo (ver diapos 14-22 de<br>https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf para<br>algunos ejemplos). Por eso hay muchas para las cuales no vas a encontrar<br>CVE ni "vulnerability advisory".<br><br>Eso en lo que respecta a problemas de implementacion. En lo que respecta<br>a problemas de *diseño*, los parches han sido escencialmente el trabajo<br>que he realizado yo en los ultimos diez años en IETF.<br><br><br>Lo de arriba no es ni novedad ni para espantarse:<br><br>* Los vendors no implementan las cosas de manera cuidadosa<br><br>* No se han aprendido las lecciones de la implementacion de IPv4<br><br>* El unico analisis exhaustivo de seguridad de IPv6 que conozco que se<br>ha hecho es el que hice yo hace años para CPNI (que no se publico, pero<br>que llevo a la publicacion de todos los RFCs que hice sobre IPv6). Dado<br>que el diseño de IPv6 NO se hizo con seguridad en mente, era bastante<br>obvio que cuando alguien mirara un poco en detalle, iba a encontrar<br>cosas para arreglar.<br><br><br>Y la historia seguramente hubiera sido la misma para cualquier otro<br>protocolo que se hubiera diseñado hace mas de 20 años (!). Ya que los<br>problemas de fondo son siempre los mismos.<br><br><br><br><br><br>On 4/4/19 01:13, Carlos Marcelo Martinez Cagnazzo wrote:<br>> En 20 años de escuchar hablar a la gente de que inseguro puede ser el<br>> IPv6, este es el primer bug que veo que realmente parece serio y<br>> explotable con relativa facilidad.  <br>> <br>> Afecta a *un fabricante* y ya hay parche, al menos en beta. Acabo de<br>> actualizar los dos Mikrotiks que tengo en casa. <br>> <br>> IPv4 tenía bastantes, pero bastantes más bugs que estos. <br>> <br>> via Newton Mail<br>> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.14&pv=12.1.4&source=email_footer_2><br>> <br>> On Wed, Apr 3, 2019 at 8:04 PM, Uesley Correa <uesleycorrea@gmail.com><br>> wrote:<br>> <br>>     Fernando,<br>> <br>>     Me gustaría vivir en ese mundo. En el mundo que yo vivo, hay muchos<br>>     con problemas de nat ( proveedores con decenas de millares de<br>>     abonados y un /22 nomás disponible ) y necesitan si o si de su<br>>     despliegue. Y que tardaron a eso y están a sufrir pérdida de<br>>     clientes. Mantengo mi opinión: en ningún momento yo dice que el IPv6<br>>     es más seguro, sino que si desde hace 10 años o más tuviéramos<br>>     empezado el trabajo de despliegue ( que no necesitaría de muchas de<br>>     las técnicas de transición de hoy y todo más ) hoy el IPv6 ya sería<br>>     un protocolo todavía más conocido y común (tanto en tema de<br>>     problemas y soluciones). Y si no son los operadores los culpables de<br>>     eso, yo no sé quién son.<br>> <br>>     Saludos!<br>> <br>>     On Wed, Apr 3, 2019, 18:36 Fernando Gont <fgont@si6networks.com<br>>     <mailto:fgont@si6networks.com>> wrote:<br>> <br>>         On 1/4/19 16:22, Fernando Frediani wrote:<br>>         > Buen email Ariel<br>>         > Como ya se ha dicho en otros lugares, lamentablemente algunas<br>>         personas<br>>         > todavía tratan IPv6 como algo accesorio.<br>> <br>>         Ver slides 14-22 de<br>>         https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf<br>>         -- de hace ocho años.<br>> <br>>         -- <br>>         Fernando Gont<br>>         SI6 Networks<br>>         e-mail: fgont@si6networks.com <mailto:fgont@si6networks.com><br>>         PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>> <br>> <br>> <br>> <br>>         _______________________________________________<br>>         LACNOG mailing list<br>>         LACNOG@lacnic.net <mailto:LACNOG@lacnic.net><br>>         https://mail.lacnic.net/mailman/listinfo/lacnog<br>>         Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>> <br>> <br>>     _______________________________________________ LACNOG mailing list<br>>     LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog<br>>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog <br>> <br>> <br>> _______________________________________________<br>> LACNOG mailing list<br>> LACNOG@lacnic.net<br>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>> <br><br><br>-- <br>Fernando Gont<br>SI6 Networks<br>e-mail: fgont@si6networks.com<br>PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br><br><br><br><br></blockquote></div></div>                        </div>                    </div>