[LAC-TF] [LACNIC/Seguridad] Presentaciones sobre seguridad IPv6

Fernando Gont fgont at si6networks.com
Tue Nov 1 16:38:45 BRST 2011


On 11/01/2011 03:11 PM, Christian O'Flaherty wrote:
> El mensaje va mas allá del período de transición. Es verdad que
> tendremos una red muy compleja (mas compleja que IPv4 + NAT) por un
> tiempo, pero cuando el mayor porcentaje sea IPv6 será mas plana y mas
> simple. Eso sería lo ideal para Internet.

Yo comparto de que no se dispone de una opcion mejor que IPv6, y por tal
motivo, hay que desplegarlo. Lo que tambien creo es que la cuestion de
"tiempos" es un signo de pregunta. Por ej., *cuando* eventualmente la
red se volvera mas simple.


>> "La complejidad" de algo es también viene dada por la expériencia con
>> que se cuenta para trabajar en eso. Y está claro que en gral no se tiene
>> con IPv6 la experiencia necesaria/deseable.
> 
> Coincido que el corto y mediano plazo serán mas complejos en muchos
> aspectos.... Pero la presentación es mirando al futuro de Internet y
> buscando algo mejor para el futuro (seguir con IPv4 + NxNAT es peor
> solución que pasar Internet a IPv6).

Yo no argumento eso, eh! Esta clarisimo que IPv4+LSN tiende a algo
horrible! Lo que digo es que el camino con IPv6, pese a ser la unica
opcion, tiene una gran cantidad de interrogantes.



>>> Large numbers of users in such a configuration would miss out on the
>>> improved security and peer-to-peer connectivity of IPv6, leaving them
>>> open to IPv4-based security attacks while confounding common
>>> NAT-averse network applications compromising security procedures such
>>> as IP address logging
>>
>> IPv6 no tiene "improved security". Es mas, en el corto y mediano plaza,
>> me animaría a decir que todo lo contrario.
> 
> Creo que la referencia a "compromising security procedures" tiene que
> ver con la dificultad de rastrear el origen de un ataque cuando la red
> se vuelve tan complicada (túneles, NATs, etc)

Si, aunque de nuevo, en el corto y mediano plazo, la red IPv6 tambien va
a tener de esas cosas.

Por otro lado, el problema de "rastrear" en si lo vamos a tener por una
buena cantidad de años, ya que IPv4+LSN (independientemente del
despliegue de IPv6) es una realidad.


>> Por otro lado, al menos para las redes generales, va a ser bastante raro
>> que haya "peer-to-peer conectivity" (lo que yo llamo "end-to-end"
>> connectivity). De hecho, lel propio IETF estandarizó que los CPE
>> hogareños tengan un firewall habilitado por defecto, que solo permita
>> "conexiones salientes". -- Comcast está desplegando exactamente esto, de
>> hecho.
> 
> Mi interpretación de peer to peer connectivity es: Si mi proveedor me
> asigna un IP privado y el tuyo te asigna un IP privado, no podremos
> tener la simplicidad del establecimiento de conexiones tal como fue
> pensado el TCP (y al UDP lo complica mas). No habrá manera de evitarlo
> porque los proveedores no asignarán IPs públicas.

EL tema es: cuantos usuarios hogareños (por ejemplo) están en
condiciones de "override" un "default setting"?



> Tal vez pocos aprovechen esta posibilidad, pero será elección del
> usuario. Esos pocos, podrán inventar nuevos servicios mas facilmente y
> sin pedirle permiso a su proveedor.
> 
> Coincido con el presentador en que mas uso de NATs es algo que
> perjudica a los usuarios finales y le da herramientas a los
> proveedores de acceso que no sabemos como las utilizarán.

Desde mi perspectiva, hay que desplegar IPv6 (en el caso general), y
está clarisimo que plantear LSN+IPv4 como solucion a largo plazo es
incorrecto.

Personalmente, tomo la actitud de "ver como se puede mejorar la
situacion respecto de IPv6", y me mantengo esceptico en materia de
espectativas sobre "ventajas". Mas bien tengo como expectativa de que,
mediante el uso de IPv6, la situacion no empeore.

En tal sentido, yo prefiero limitar el mensaje a "Nos hacen falta
direcciones, y lo que tenemos para lograr eso es IPv6". Un objetivo,
humilde, pero claro y concreto (y suficientemente justificador del
despliegue de IPv6).

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






More information about the LACTF mailing list