[LAC-TF] [LACNIC/Politicas] Fwd:I-D ACTION:draft-narten-ipv6-3177bis-48boundary-00.txt
Carlos Barcenilla
barce at frlp.utn.edu.ar
Thu Jul 21 16:42:05 BRT 2005
Hola
Con respecto a esta discusión quisiese resumir algunos aspectos de
lo que se ha dicho, y que me hacen llegar ya a alguna conclusión. Aclaro
de entrada que solo hablo de casos de IPv6.
En lo que respecta a la publicación en WHOIS público, o la cesión de
los datos por parte de un ISP para las asignaciones de /48 o /56.
Empiezo resaltando que estas subasignaciones tienen una característica
muy distinta a las subasignaciones que los ISP hacen a sus clientes en
IPv4. En IPv4 lo que veo que se registran son subasignaciones de
bloques, por ejemplo un /24, /25, /26... Tal como están las cosas en
IPv4 el número de estas asignaciones es "manejable" cómodamente en una
base de datos, y normalmente a lo que se refieren como "clientes" son
organizaciones, y no personas particulares, es decir que es muy poco
probable que estemos hablando de un hogar con ADSL al que se le asigne
un prefijo IPv4 y se publique en el WHOIS.
La asignación de prefijos /48 o /56 a los usuarios residenciales en
IPv6 hace las veces a los efectos prácticos de lo que es en IPv4 una
asignación estática de una dirección IP, ya que estas serían las
unidades "mínimas" de asignación (eventualmente /64). De esta forma, el
registrar en IPv6 cada asignación y publicarla en WHOIS de este tipo
sería como hacer lo propio para cada IP que se le asigna a un usuario
residencial, y esto no se realiza hoy hasta donde yo se.
Aclarado el alcance del concepto y sus diferencias paso a resaltar
algunos puntos según mi opinión, y según he venido leyendo en esta lista:
a) Los ISP no verían con agrado el publicar los datos de sus
clientes particulares. Estos datos son muy importantes a nivel
comercial, y "cedérselos" gratuitamente a la competencia no veo que les
haga mucha gracia. Como ejemplo se han citado aquí casos utilización
inapropiada de estas bases de datos de clientes para propósitos
comerciales, de publicidad, telemercadeo, fraudes, etc...
b) Según leyes de protección de datos personales, y comparando con
casos como la telefonía, los bloques asignados podrían ser considerados
datos de este tipo y prohibida su publicación y/o cesión a terceras
partes. Se comentó el caso europeo, se comentó que en LAC parece que
solo Argentina tiene una ley de este tipo en la actualidad. Lo cierto es
que en este aspecto hay tendencias jurídicas y que hoy sea dispar no
quiere decir que a mediano/largo plazo varios países de la región no
tengan leyes de este tipo.
c) A los usuarios en particular supongo que no les agradaría que se
publicasen sus datos si fuesen conscientes de sus implicancias. Tengan
derechos legales o no a oponerse a la publicación. Tengamos también en
cuenta que si bien a los efectos de asignación estas serían "similares"
a un número telefónico de hoy, de lo que van a hacer publicidad en todo
caso los usuarios será de URIs SIP o de direcciones de e-mail
probablemente, y no de información de red.
d) A nivel de seguridad no lo veo tampoco conveniente. Si tengo un
"enemigo" y puedo acceder fácilmente a sus datos, su bloque IP, etc. Me
facilitará el lanzar un ataque específico. Se que la seguridad por
oscuridad no es lo más adecuado, pero tampoco es cuestión de irse al
otro extremo.
e) Dado el estricto direccionamiento jerárquico (provider
aggregatable) de IPv6, no parece de gran utilidad siquiera conocer el
nombre de la persona a la que se le asignó el bloque. Con conocer el ISP
titular del bloque al que pertenece sería suficiente. Ya que a nivel
operativo de red lo importante es localizar al ISP, y que este proceda
ante un abuso por parte de un cliente como sea conveniente, y no salir a
cazar a usuarios individuales. Se imaginan que a un atacante le cuelan
uno de estos virus zombies, y que éste "destruye" desde ahí decenas de
computadoras, y los afectados lo encuentran por el WHOIS, y deciden
hacer justicia por mano propia. En todo caso será, como se ha comentado
aquí, un juez el que pueda intervenir en caso de juicios por daños y
perjuicios o lo que corresponda, los datos del usuario los tiene el ISP
en su base de datos administrativa y los podrá ceder ante requerimiento
judicial.
f) En lo que concierne a la evaluación del HD-RATIO por el RIR para
la asignación de nuevos bloques, parece ser de utilidad tener los datos
de las asignaciones, sin embargo, como ya se ha comentado, puede ser que
según la legislación de algún país esto no esté permitido al ISP.
Supongamos que el país A tiene esta restricción, entonces no podrá dar
esa información al RIR, con lo que éste deberá utilizar otros medios
para evaluar el HD-RATIO. Ahora pensemos que el RIR al país A no pone el
requisito de registración de cada subasignación, y a los países B, C, D
si se los pone. ¿no hay una falta de equidad aquí? Entonces tal vez sea
mejor evaluar para todos de otra forma.
Resumiendo, en cuanto a publicar en un WHOIS público los datos de
asignaciones de /48 o /56 a usuarios particulares: A los ISP no les
gustaría hacerlo, a la ley no le "gusta" mucho, a los usuarios
probablemente no les gustaría, a la seguridad no la "beneficia", a la
operatividad global de la red no brinda ventajas y los RIR podrían vivir
sin esta información.
Como conclusión, veo que casi todos los aspectos son negativos (tal
vez me los busqué negativos inconscientemente ;) no pareciendo
recomendable registrar públicamente toda esta información.
Pido disculpas por cualquier error conceptual que haya cometido, ya
que no soy gran experto en la materia, por favor sépanme corregir.
Saludos.
Carlos.
Enrique Torres Angeles escribió:
>Hola Todos
>
>Les cuento un poco la experiencia que tuvimos aqui en Peru al respecto de la
>confidencialidad de los datos cuando hace unos años comenzamos a implementar
>el WHOIS y zonas WHOIS delegadas para alimentar los registros de ARIN.
>
>Con respecto a la declaracion de los datos completos en el WHOIS la
>problematica que se dio fue la siguiente:
>
>1- Utilizacion de la base de datos whois por otros operadores de
>telecomunicaciones para atacar la base de clientes internet de la competencia
>
>2- Utilizacion de las bases de datos whois para crear bases de datos de
>publicidad o telemercadeo
>
>3- Utilizacion en contadas oportunidades para fraudes basandose en la
>informacion de la base WHOIS.
>
>
>Contra esta problematica se opto en dos alternativas y creo que son las que se
>deben analizar
>
>1- Declarar el bloque IP con el nombre de la Organizacion que lo tenia
>delegado pero en la seccion de contactos administrativos y tecnicos que son
>los datos visibles se publico la informacion del contacto tecnico y
>administrativo del ISP que delega el numero.
>
>Internamente existian datos que no eran mostrados donde estaba la data real
>del usuario.
>
>2- Tuvimos solo un caso en donde el cliente no quiso que apareciera ninguna
>informacion sobre el y se declaro como si el bloque estuviera utilizado por
>el ISP y con sus contactos administrativos y tecnicos.
>
>Cabe mencionar que en este caso fue el que mas complicacion nos creo porque
>nos llevo a analizar la opcion de añadir un campo que indique el
>Representante y el Beneficiario del bloque a fin de que solo se publique en
>el WHOIS los datos del Representante.
>
>
>En conclusion lo que les quiero decir es que este no es un problema complicado
>de solucionar es un problema mas que todo del tipo administrativo que implica
>adicionar datos al WHOIS algunos de los cuales no son publicados y definir
>una opcion al momento de que registra el usuario los datos en que le permite
>decidir si quiere mantener los datos confidenciales o no.
>
>Es claro que ante los RIR esta opcion no era aplicable era solo aplicable para
>declarar la sub delegaciones hechas por el ISP.
>
>
>Saludos,
> Enrique
>
>
More information about the LACTF
mailing list