[LAC-TF] Fwd: RFC 7112 on Implications of Oversized IPv6 Header Chains
Fernando Gont
fgont at si6networks.com
Wed Jan 29 16:27:21 BRST 2014
Hola, Azael,
On 01/29/2014 03:14 PM, Azael Fernandez Alcantara wrote:
>
> Gracias Fernando y Felicitaciones a que finalmente se publica.
Gracias! (es una especia de sensación de "liberación"... el ultimo tramo
de la publicación toma mucho tiempo, apra cambios principalmente de
redacción y demas :-( )
> A reserva de leer detenidamente nuevamente, la version final del ahora RFC.
>
> Dos preguntas: desde tu punto de vista este cambio, para mejora de la
> seguridad, que tan complicado consideras pueda demorar su implementacion
> por los fabricantes ?
Esto es una muy buena pregunta. Para sistemas operativos "libres", te
diría "poco tiempo". Para comerciales... es dificil estimar. :-(
> Y que comentario habria sobre la ultima consideracion de seguridad, cito:
>
> "A firewall that performs stateless deep packet inspection (i.e.,
> examines application payload content) might still be unable to
> correctly process fragmented packets, even if the IPv6 Header Chain
> is not fragmented."
Esto es porque si tu firewall examina el flugo de datos (por ej., el
flujo HTTP, como para evaluar si un archivo que estas bajando tiene
virus, o cosas de ese estilo), no alcanza con la metadata (direcciones
IP, tipo de protocolo de transporte, y numeros de puerto), sino que hay
que reensamblar el flujo de datos (por ej., el flujo de datos que está
transmitiendo TCP). Pero eso ya es una limitación del filtrado
"stateless". Si querés filtrar con ese nivel de "profundidad", ahí no te
queda otra que "reensamblar el flujo de datos, filtrar, y lugo
retransmitir".
Un firewall comun usualmente no hace eso, sino que se limita a evaluar
la medatada (Direccion IP origen, Direccion IP destino, protocolo de
transporte, Puerto origen, puerto destino). El objetivo de este RFC es
justamente permitir este filtrado -- que es terriblemente comun y útil
en IPv4, pero que no era posible hacer en IPv6.
Saludos cordiales, y gracias
--
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
More information about the LACTF
mailing list