[LAC-TF] NIST "Guidelines for the Secure Deployment of IPv6" (Special Publication 800-119)

Fernando Gont fernando at gont.com.ar
Thu Dec 30 05:31:45 BRST 2010


Estimados,

NIST acaba de publicar el documento "Guidelines for the Secure
Deployment of IPv6". El mismo se encuentra disponible en:
http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf

Durante el periodo de "revision publica", yo lei el documento, y envie
comentarios. Si bien no relei esta "version final", parece que el mismo
no difiere sustancialmente de la version leida en su momento.

Aqui van algunos comentarios:

* Personalmente, creo que el titulo es equivocado. El documento tiene un
total de 188 paginas, y menos de la mitad del documneto se encarga del
*despliegue* de IPv6. Y en los casos en los que se tratan temas de
despliegue, no creo que se brinden recomendaciones especificas sobre
despliegue seguro.

* Hay determinadas cuestiones que, IMHO, ya se tornan molestas. En el
documento podran encontrar partes en las que se habla sobre las "mejoras
de seguridad gracias al soporte mandatorio de IPsec", que estimo que a
esta altura todo el mundo tiene en claro que se trata de un argumento falaz.

* Infaltable :-), tambien se habla de mejoras o potencial mejoras en lo
que hace a QoS, dado el Flow Label. Permitaseme decirlo de manera clara
y politicamente-incorrecta: El Flow Label es un campo que hasta el
momento nadie usa ni tiene demasiado claro para que usar. Punto. En el
6man wg de la IETF se esta trabajando en una revision de la
especificacion del mismo, intentando orientar el uso del mismo a
ECMP/LAG. Nada mas. Incluso si el mismo se utilizara, no habria ninguna
mejora significativa con respecto a la utilizacion de (src IP, src port,
dst ip, dst port) que se utiliza hoy en dia en IPv6.

* El documento dice que en IPv4, PMTUD es "optional, not widely used".
Esto es completamente equivocado. Quien dude de esta aseveracion,
capture un poco de trafico TCP, y vera que los paquetes IPv4
correspondientes tienen el bit "DF" (Don't Fragment) seteado.

* Hay algunos otros errores como por ej. decir que el MTU minimo de IPv4
es 576 bytes. El MTU minimo de IPv4 es aun mas pequeño: 68 bytes (aunque
en la practica todas las reedes IPv4 sportan un MTU de al menos 296
bytes). -- FWIW, el valor citado (576 bytes) corresponde al "minimum
reassembly buffer size", es decir, al tamaño minimo de paquete que un
host IPv4 tiene que poder *reensamblar*.

* El documento parece indicar que anycast es nuevo con IPv6. Sin
embargo, Anycast ya existe en IPv4. De hecho, piensen por ejemplo en la
direccion IPv4 anycast que se utiliza como direccion destino IPv4 al
encapsular 6to4.


Nota:

* Si bien recuerdo, hay partes del documento en que se rectifica por
ejemplo la cuestion sobre "IPv6 security" (es decir, se aclara que en
realidad no hay mejoras sustanciales) -- no se si esto tendra que ver
con que distintos co-autores editaron distintas partes del documento, o que.

* El documento tiene información interesante. Y creo que es recomendable
su lectura. Pero al mismo tiempo, al leerlo, creo que hay que estar
atentos a cuestiones como las mencionadas mas arriba.

Saludos cordiales,
Fernando




-------- Original Message --------
Subject: 	NIST Compuater Security Division Released 2 Speical
Publications : 800-119 and 800-135
Date: 	Wed, 29 Dec 2010 15:13:00 -0600
From: 	NIST Security Publications <csrc.nist at service.govdelivery.com>
Reply-To: 	NIST Security Publications <csrc.nist at service.govdelivery.com>
To: 	fernando at gont.com.ar



NIST Computer Security Division is proud to announce the release of 2
Special Publications:
(1) *Special Publication 800-119*, /Guidelines for the Secure Deployment
of IPv6/ and
(2) *Special Publication 800-135*, /Recommendation for
Application-Specific Key Derivation Functions/

Here is the URL to the CSRC News/Announcement page that provides an
announcement of these 2 Special Publications release:
http://csrc.nist.gov/news_events/#dec28

Below are the URLs for the 2 documents --
SP 800-119:
http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf

SP 800-135:
http://csrc.nist.gov/publications/nistpubs/800-135/sp800-135.pdf


----------
To update your user profile click the Subscriber Preferences Page - link
below.  You can have your email address removed from this topic, or you
can add other topics that we currently offer - those can be seen and
chosen in user preferences.  If you wish to unsubscribe from all topics,
you can do so within your user profile.  Any questions regarding our
list, send email directly to Pat O'Reilly (address below).  For
technical issues regarding GovDelivery, contact their support team
(address below). NOTE - do NOT reply back to this email for I will not
receive it.
Thank you.

Pat O'Reilly
Computer Security Division
NIST
patrick.oreilly at nist.gov <mailto:patrick.oreilly at nist.gov>

------------------------------------------------------------------------

Update your subscriptions, modify your password or e-mail address, or
stop subscriptions at any time on your Subscriber Preferences Page
<https://service.govdelivery.com/service/user.html?code=USNISTCSRC>. You
will need to use your e-mail address to log in. If you have questions or
problems with the subscription service, please contact
support at govdelivery.com <mailto:support at govdelivery.com>. All other
inquiries can be directed to webmaster-csrc at nist.gov
<mailto:webmaster-csrc at nist.gov>.

This service is provided to you at no charge by the National Institute
of Standards and Technology (NIST).

GovDelivery, Inc. sending on behalf of NIST Computer Security Resource
Center · 100 Bureau Drive · Gaithersburg MD 20899 · 301-975-6478




More information about the LACTF mailing list