[LAC-TF] [LACNIC/Seguridad] Presentaciones sobre seguridad IPv6

Tue Nov 1 16:11:56 BRST 2011

>> IPv6 offers a flatter and less complicated peer-to-peer environment
>> that incorporates built-in IPSec security rather than relying on
>> large-scale NAT (LSN), a high-end NAT that intermediates between
>> systems on a network and the Internet at large.
>
> No veo lo "mas plano" de IPv6. Al menos en el corto y mediano plazo, la
> arquitectura con IPv6 va a ser tanto o mas complicada y no-plana que la
> de IPv4 (pensar en los tuneles, en los NAT64, y en las distintas
> tecnologias de transicion).

El mensaje va mas allá del período de transición. Es verdad que
tendremos una red muy compleja (mas compleja que IPv4 + NAT) por un
tiempo, pero cuando el mayor porcentaje sea IPv6 será mas plana y mas
simple. Eso sería lo ideal para Internet.

> "La complejidad" de algo es también viene dada por la expériencia con
> que se cuenta para trabajar en eso. Y está claro que en gral no se tiene
> con IPv6 la experiencia necesaria/deseable.

Coincido que el corto y mediano plazo serán mas complejos en muchos
aspectos.... Pero la presentación es mirando al futuro de Internet y
buscando algo mejor para el futuro (seguir con IPv4 + NxNAT es peor
solución que pasar Internet a IPv6).

> En particular, me crispa lo de "built-in" security -- eso es parte del
> mito de que en IPv6 se consideraron las cuestiones de seguridad desde un
> comienzo, y que IPv6 es mas seguro porque tiene "soporte mandatorio de
> IPsec".
> Por otro lado, el uso de NAT (o en su defecto un firewall stateful), no
> tiene nada que ver con IPsec. Los servicios provistos por cada una de
> esas  tecnologias son en realidad ortogonales.

Esa es una forma de "leer" esa oración. Otra forma sería:
"IPv6 offers a flatter and less complicated peer-to-peer environment
rather than relying on large-scale NAT (LSN)".
No se por qué incluyó "built-in IPSec security" en ese contexto ya que
el párrafo no habla de seguridad. Tal vez confunde un poco al lector.
Coincido en que no hay diferencia con IPv4 en ese punto.

>> Large numbers of users in such a configuration would miss out on the
>> improved security and peer-to-peer connectivity of IPv6, leaving them
>> open to IPv4-based security attacks while confounding common
>> NAT-averse network applications compromising security procedures such
>> as IP address logging
>
> IPv6 no tiene "improved security". Es mas, en el corto y mediano plaza,
> me animaría a decir que todo lo contrario.

Creo que la referencia a "compromising security procedures" tiene que
ver con la dificultad de rastrear el origen de un ataque cuando la red
se vuelve tan complicada (túneles, NATs, etc)

> Por otro lado, al menos para las redes generales, va a ser bastante raro
> que haya "peer-to-peer conectivity" (lo que yo llamo "end-to-end"
> connectivity). De hecho, lel propio IETF estandarizó que los CPE
> hogareños tengan un firewall habilitado por defecto, que solo permita
> "conexiones salientes". -- Comcast está desplegando exactamente esto, de
> hecho.

Mi interpretación de peer to peer connectivity es: Si mi proveedor me
asigna un IP privado y el tuyo te asigna un IP privado, no podremos
tener la simplicidad del establecimiento de conexiones tal como fue
pensado el TCP (y al UDP lo complica mas). No habrá manera de evitarlo
porque los proveedores no asignarán IPs públicas.

Tal vez pocos aprovechen esta posibilidad, pero será elección del
usuario. Esos pocos, podrán inventar nuevos servicios mas facilmente y
sin pedirle permiso a su proveedor.

Coincido con el presentador en que mas uso de NATs es algo que
perjudica a los usuarios finales y le da herramientas a los
proveedores de acceso que no sabemos como las utilizarán.

Christian

>
>
> Nota/Disclaimer: Obviamenet, esto es un articulo de prensa sobre una
> presentacion, asi que puede que lo que el presentador dijo haya sido
> cambiado un poco (o no)... quien sabe...
>
> Un abrazo,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>