<div dir="auto">Vou tomar a liberdade de escrever em português.<div dir="auto"><br></div><div dir="auto">Henri como sempre foi certeiro!</div><div dir="auto"><br></div><div dir="auto">Dois pontos de vista a serem analisados.</div><div dir="auto"><br></div><div dir="auto">Privacidade, secrecidade, neutralidade...</div><div dir="auto">Esses termos não se alinham muito bem com outras palavras frequentemente usadas em ambientes corporativos: DLP, 802.1x, controle de acesso.</div><div dir="auto"><br></div><div dir="auto">Outro ponto controverso do SLAAC é na implementação de técnicas de anti-spoofing de camada 2. Também muito importante em ambientes corporativos com grandes preocupações com segurança (redes industriais tem essa peculiaridade bem presente).</div><div dir="auto"><br></div><div dir="auto">Qual é o chapéu que a NSA estava usando quando publicou esse documento?</div><div dir="auto">Aquele que imaginamos em filmes...</div><div dir="auto">Ou a entidade que tem que definir parâmetros de segurança para todas as demais instituições governamentais do país?</div><div dir="auto"><br></div><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Em qua., 25 de jan. de 2023 20:50, Henri Alves de Godoy <<a href="mailto:henri.godoy@fca.unicamp.br">henri.godoy@fca.unicamp.br</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hola a los dos Fernandos,<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qua., 25 de jan. de 2023 às 19:50, Fernando Gont <<a href="mailto:fgont@si6networks.com" target="_blank" rel="noreferrer">fgont@si6networks.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hola, Fernando,<br>
<br>
On 25/1/23 19:06, Fernando Frediani wrote:<br>
> Hola Fernando<br>
> Gracias por compartir<br>
> <br>
> El documento es interesante y al principio habla de algo atrevido que es <br>
> la intención de migrar la red a solo IPv6. Creo que en estos casos <br>
> deberían estar planeando usar algún tipo de técnica NAT64 + DNS64 para <br>
> llegar a hosts solo IPv4 pero mantener la red interna solo IPv6.<br>
<br>
Hay que ser serios al respecto. Alguno e.g. probo el soporte de IPv6 en <br>
GCP, por ejemplo?<br><br></blockquote><div><br></div><div><div>Creo que no lo probaron, porque GCP no admite solo IPv6, solo AWS lo hace.</div><div><br></div><div>Incluso en la región de Sao Paulo/Brasil del GCP, ni siquiera hay dual stack todavía :-(( . Mientras que en Chile, la doble pila es posible.</div></div><div> </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> Otro detalle interesante es la recomendación de no usar SLAAC para la <br>
> configuración automática. En particular, a veces pienso que hay un poco <br>
> de exageración en este tema de "menor privacidad" cuando se usa la <br>
> configuración automática, pero puedo entender la preocupación en algunos <br>
> escenarios específicos.<br>
<br>
Creo que es al reves: Argumentar que DHCPv6 es recomendable por q <br>
cuestiones de privacidad da como para pensar que uno quedaria "fuera" <br>
con un control antidoping ;-)<br>
<br>
En primer lugar, no se puede asegurar ni esperar nada respecto de las <br>
direcciones IPv6 asignadas via DHCPv6, justamente porque esta fuera del <br>
control del propio host (mas alla que tambien DHCPv6 tiene nulo soporte <br>
de direcciones temporales en las implementaciones reales).<br>
<br>
Entonces, sie el argumento fuera la privacidad, definitivamente uno <br>
elegiria SLAAC, y no DHCPv6 (lease: la recomendacion debe ser la <br>
*opuesta* a la hecha por la NSA).<br></blockquote><div><br></div><div>Yo creo que muchos todavía vienen con la idea que siempre tuvieron con DHCPv4 y piensan lo mismo con DHCPv6. Además, muchos todavía tienen en mente DHCP como un mecanismo complementario para la auditoría y el registro, lo cual es incorrecto.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<br>
<br>
> También sobre SLACC y la Auto Configuration es algo que nunca me gustó <br>
> mucho la idea, pero aprendí a vivir con ello. En general, en las redes <br>
> LAN que configuro, tengo tanto Stateless como Statefull, pero creo que, <br>
> en general, preferiría algo solo con DHCPv6.<br>
<br>
La existencia de SLAAC y DHCPv6 son un artefacto de la historia... y <br>
probablemente un muy buen ejemplo de como tomar malas deciciones en <br>
materia de estandarizacion (asi como tambien de alienacion religiosa con <br>
protocols de comunicaciones :-) ).<br></blockquote><div><br></div><div><br></div><div><div>SLAAC es práctico, fácil y eficiente y maneja bien los problemas de privacidad. La única dificultad que veo está relacionada con el registro y los registros de auditoría, que requiere un sistema como RADIUS/portal cautivo o 802.1x, por ejemplo.</div><div><br></div><div>Solo DHCPv6 según el escenario no es posible, tenemos que combinar las 2 técnicas de entrega.</div><div><br></div><div>Considero que al documento de la NSA le faltó un enfoque con consulta de expertos y falta de experiencia real en la práctica en adopción y casos.</div></div><div><br></div><div>Saludos a todos !</div><div>Henri</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Slds cordiales!<br>
-- <br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com" target="_blank" rel="noreferrer">fgont@si6networks.com</a><br>
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank" rel="noreferrer">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr"><img width="420" height="127" src="https://ci3.googleusercontent.com/mail-sig/AIorK4xJTI4fOwTRhNqwzPDuuVtXRma-AtZlVMXEBX8smzlKDm1b6O7MmBLRqUMlR7HmEqRCaiKlXCY"><br></div></div></div></div></div></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank" rel="noreferrer">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div></div>