[LAC-TF] [LACNIC/Seguridad] Presentaciones sobre seguridad IPv6

[Fernando Gont]

On 11/01/2011 04:24 PM, Christian O'Flaherty wrote:
>> Personalmente, tomo la actitud de "ver como se puede mejorar la
>> situacion respecto de IPv6", y me mantengo esceptico en materia de
>> espectativas sobre "ventajas". Mas bien tengo como expectativa de que,
>> mediante el uso de IPv6, la situacion no empeore.
> 
> En tu caso está claro que te molesta la "promoción" de IPv6 como si
> fuera algo a vender. 

Exacto. En particular si se utilizan argumentos tecnicos que no son
ciertos. En lo personal soy alguien que se dedica a la parte tecnica, y
que mas alla de la cuestión laboral/academica, hago lo que hago
básicamente porque me gusta. Entonces cuando escucho "built-in security"
siento como si alguien dijera "2+2=5", y la gente apludiera y dijera
"uh, que bueno!".



> Pero en muchos otros casos, con un mensaje
> parecido al tuyo, 

Aclaración: Mi mensaje es básicamente que no todo es color de rosa, y
que el motivo del despliegue de IPv6 tiene que ver con la mayor cantidad
de direcciones, y no con otra cosa.

Soy también de la idea que en determinados entornos (redes de defensa,
infraestructura critica), la decisión de despliegue no es trivial, y en
muchos de estos entornos, se puede/debe esperar (sin que ello implique
el despliegue de LSN).

Pero en redes de uso general (e.g., un ISP), en las que hace falta mas
direcciones, la alternativa debe ser IPv6, y no LSN. Lamentablemente, en
muchos casos, por mas que uno despliegue IPv6, de todos modos va a
necesitar LSN, por el simple motivo de que el contenido está en IPv4 y
no en IPv6.

Una diferencia interesante entre *mi* postura, y la de muchos vendors,
es que "dig www.si6networks.com aaaa" no devuelve "null" ;-)
Lease, soy critico, pero no hereje. :-)


> intentan mantener la situación de transición
> indefinidamente porque les permite ganar mas dinero (vendiendo cajas)
> o tener mas control de sus usuarios (concentrando el tráfico).

Un ISP que intenta prolongar la transición indefinidamente basicamente
está invirtiendo dinero en algo que eventualmente va a tener que desechar.

En particular, al ver los precios de estas cajas LSN, realmente me
parece ridiculo que alguien de la region utilice LSN como *alternativa*
a la transición.

En cualquier organización en la que se dependa del uso de direcciones
IPv6, tienen que planear su transición. Y cuanto menos dinero inviertan
en equipos "IPv4-only" (lease, por ejemplo, LSN), mejor.



> Creo
> que el período de transición representa una amenaza para Internet tal
> como la conocemos.

Coincido. El problema acá es que esta situación depende de la mismisima
gente que nos metió en el problema. No desplegaron v6 porque no era
negocio... y en muchos casos hoy haran lo que ellos crean que les
conviene ($$) a corto plazo, mas alla de las consecuencias.

Un segundo problema es que la ventaja de IPv6 (no tener que hacer NAT de
manera masiva Y compulsiva), se obtiene en la medida de lo que hace
*otra* gente. Lease, si yo despliego IPv6, el nivel de aprovechamiento
que pueda hacer de este protocolo depende del despliegue de IPv6 que
hagan otros proveedores, de modo que mis clientes puedan acceder a ese
contenido utilizando IPv6 de manera nativa y de "extremo a extremo".



>> En tal sentido, yo prefiero limitar el mensaje a "Nos hacen falta
>> direcciones, y lo que tenemos para lograr eso es IPv6". Un objetivo,
>> humilde, pero claro y concreto (y suficientemente justificador del
>> despliegue de IPv6).
> 
> alguien puede decir: Eso no es así... No hacen falta mas direcciones.
> Podés tener las direcciones necesarias para los próximos años con LSN
> y muchas otras ventajas por concentrar todos los servicios en una
> caja... IPv6 se puede desplegar mas adelante cuando esté mas maduro
> (Esto es lo que están escuchando muchos ISPs de sus vendedores de
> equipos)

Esta aseveracion (mantenida por fabricantes) es una estupidez... o mas
bien, está cargada de hipocresía :-) Significa invertir un montón de
dinero en algo que, en el largo plazo, no es viable.

Por otro lado, IPv6 no va a madurar mientras que no se lo use. Salvo
organizaciones contadas, nadie está dispuesto a invertir dinero y/o en
mejorar algo que no se usa masivamente. Asimismo, para sistemas de uso
general, las principales amenazas estan en otro lado. Por ejemplo, quien
esté utilizando Windows+Internet Explorer tiene muchisimos mas motivos
de preocupación que alguien que utilice, por ej., OpenBSD+IPv6.

Lamentablemente, en lo que respecta a seguridad IPv6, muchos fabricantes
(que son responsables de sus propias implementaciones), estan fallando
miserablemente. Lease, se sientan sobre problemas de seguridad durante
tiempos ridiculos. O dan respuestas ridículas cuando uno les reporta un
problema.

Por tal motivo, es bastante "curioso" ver que oficialmente son
"promotores de IPv6", cuando a la hora de hacer cosas concretas para que
la situación mejore, se cruzan de brazos, o caminan en el sentido opuesto.

Asimismo, tambien es triste que en ocasiones uno encuentre en el ambito
de la IETF, posturas religiosas sobre IPv6 estilo "no cambiemos nada",
como si cambiar algo, o admitir que algo debe corregirse fuera algo
negativo.

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492