[LAC-TF] [LACNIC/Seguridad] Presentaciones sobre seguridad IPv6

Fernando Gont fgont at si6networks.com
Tue Nov 1 15:11:18 BRST 2011 

On 11/01/2011 11:33 AM, Christian O'Flaherty wrote:
>> Mientras actualizaba contenidos, lei el siguiente artículo 
>> "Persistence of IPv4 security model threatens open Net" 
>> (<http://www.cso.com.au/article/404920/persistence_ipv4_security_model_threatens_open_net_isoc/>),
>>
>> estando en desacuerdo casi completo :-) con las observaciones hechas >>
en la ponencia a la que se hace referencia.
> 
> Qué parte de la presentación no te gustó?


Aca van algunos comentarios, quoteando el articulo:

> IPv6 offers a flatter and less complicated peer-to-peer environment 
> that incorporates built-in IPSec security rather than relying on 
> large-scale NAT (LSN), a high-end NAT that intermediates between 
> systems on a network and the Internet at large.

No veo lo "mas plano" de IPv6. Al menos en el corto y mediano plazo, la
arquitectura con IPv6 va a ser tanto o mas complicada y no-plana que la
de IPv4 (pensar en los tuneles, en los NAT64, y en las distintas
tecnologias de transicion).

"La complejidad" de algo es también viene dada por la expériencia con
que se cuenta para trabajar en eso. Y está claro que en gral no se tiene
con IPv6 la experiencia necesaria/deseable.

En particular, me crispa lo de "built-in" security -- eso es parte del
mito de que en IPv6 se consideraron las cuestiones de seguridad desde un
comienzo, y que IPv6 es mas seguro porque tiene "soporte mandatorio de
IPsec".

Por otro lado, el uso de NAT (o en su defecto un firewall stateful), no
tiene nada que ver con IPsec. Los servicios provistos por cada una de
esas  tecnologias son en realidad ortogonales.


> Large numbers of users in such a configuration would miss out on the
> improved security and peer-to-peer connectivity of IPv6, leaving them
> open to IPv4-based security attacks while confounding common
> NAT-averse network applications compromising security procedures such
> as IP address logging

IPv6 no tiene "improved security". Es mas, en el corto y mediano plaza,
me animaría a decir que todo lo contrario.

Por otro lado, al menos para las redes generales, va a ser bastante raro
que haya "peer-to-peer conectivity" (lo que yo llamo "end-to-end"
connectivity). De hecho, lel propio IETF estandarizó que los CPE
hogareños tengan un firewall habilitado por defecto, que solo permita
"conexiones salientes". -- Comcast está desplegando exactamente esto, de
hecho.


Nota/Disclaimer: Obviamenet, esto es un articulo de prensa sobre una
presentacion, asi que puede que lo que el presentador dijo haya sido
cambiado un poco (o no)... quien sabe...

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

More information about the LACTF mailing list