[LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

Erick Lobo Marín erick.lobo at cgr.go.cr
Wed May 14 11:43:12 BRT 2014


Fernando:

>Para poder hacer correlación en tales escenarios, necesitarías algo
>como: <http://www.si6networks.com/tools/ipv6mon/>, que en IPv4
>generalmente NO es necesario.

En relación con tu comentario se me ocurre que en IPv4 no eran necesarios
los mecanismos comentados (RFC4941 y RFC7217), porque en general en la
Enterprise se manejaba el NAT en combinación con políticas de Firewall, y
de alguna forma se deba el ocultamiento de la dirección final y el tracking
era más difícil de hacer.  Con IPv6, por sus características (tales como:
autoconfiguración stateless y suficiente direccionamiento) ya no aplica el
NAT (o por lo menos no tienen mucho sentido el usarlo) lo cual produce que
no se disponga el ocultamiento y el tracking, requiriendo considerar estas
opciones.

Agradecería sus observaciones a lo indicado.

Atentamente,
Costa Rica
Erick Lobo

lgD


El 13 de mayo de 2014, 12:37, Fernando Gont <fgont at si6networks.com>escribió:

> Erick,
>
> Se deshabilita porque las direcciones de prvacidad hacen que cada
> sistema tenga varias direcciones IPv6 al mismo tiempo, y cambiantes... O
> cual, en materia de correlación, es lo que en mi barrio natal (Haedo,
> Argnetina) se llama "un dolor de huevos" :-), y en el mundo en general
> "dificultoso".
>
> Para poder hacer correlación en tales escenarios, necesitarías algo
> como: <http://www.si6networks.com/tools/ipv6mon/>, que en IPv4
> generalmente NO es necesario.
>
> Saludos,
> Fernando
>
>
>
>
> On 05/12/2014 09:53 AM, Erick Lobo Marín wrote:
> > Buenos días, ¿por qué se deshabilita en la Enterprise?, será para que
> > los sistemas perimetrales (firewall, ids...) de seguridad tengan más
> > "certeza" al aplicar las políticas de seguridad sobre éstas?
> >
> > Atentamente,
> > Costa Rica
> > Erick Lobo
> >
> > lgD
> >
> >
> > El 11 de mayo de 2014, 13:19, Cristian F. Perez Monte <cdlt23 at gmail.com
> > <mailto:cdlt23 at gmail.com>> escribió:
> >
> >
> >
> >
> >     2014-05-11 1:35 GMT-03:00 Fernando Gont <fernando at gont.com.ar
> >     <mailto:fernando at gont.com.ar>>:
> >
> >         Hola, Erick,
> >
> >         On 05/09/2014 05:01 PM, Erick Lobo Marín wrote:
> >         > Fernando: ¿Qué tan aceptado es el método que ha implementado
> >         Microsoft
> >         > en sus sistemas operativos Windows de generación aleatoria de
> la
> >         > dirección IPv6 sobre el tiempo?
> >
> >         Supongo que te referis a lo especificado en RFC 4941. En tal
> >         caso, te
> >         diría que con el correr del tiempo ha sido mas y mas aceptado por
> >         distintas plataformas -- aunque no todas ellas habilitan dichas
> >         direcciones por defecto. Las que recuerdo (de memoria) que
> >         implementan
> >         RFC 4941 son:
> >
> >         * Windows
> >         * FreeBSD
> >         * OpenBSD
> >         * Linux
> >
> >
> >         Windows las habilita por defecto. FreeBSD no. Y el resto no
> >         recuerdo...
> >
> >
> >     En linux dependiendo de distribución y versión de kernel, he visto
> >     con y sin habilitación de lo especificado en el RFC 4941.
> >     En el caso de NetBSD no estaría tan seguro que no lo implementa,
> >     creería que si, sucede que por defecto viene todo desactivado.
> >
> >
> >         Mas alla de la habilitacion por defecto, es de notar que al
> menos en
> >         ambientes tipo Enterprise, este feature suele ser deshabilitado.
> >
> >
> >
> >         > Considerando entre las razones de su uso el evitar el tracking
> >         de la
> >         > dirección IP.
> >
> >         RFC 4941 no evita, per se, el tracking, sino que lo ahce mas
> >         dificil.
> >
> >         Cuando RFC4941 esta habilitado, se utilizan direcciones
> >         aleatorias para
> >         las conexiones salientes... pero las direcciones "tradicionales"
> >         (no-temporales) siguen ahí... por lo cual el tracking sigue
> siendo
> >         posible (ni hablar del escaneo, etc.).
> >
> >         Saludos, y gracias!
> >         --
> >         Fernando Gont
> >         e-mail: fernando at gont.com.ar <mailto:fernando at gont.com.ar> ||
> >         fgont at si6networks.com <mailto:fgont at si6networks.com>
> >         PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076
> FFF1
> >
> >
> >
> >         _______________________________________________
> >         LACTF mailing list
> >         LACTF at lacnic.net <mailto:LACTF at lacnic.net>
> >         https://mail.lacnic.net/mailman/listinfo/lactf
> >         Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> >         <mailto:lactf-unsubscribe at lacnic.net>
> >
> >
> >
> >
> >
> >     _______________________________________________
> >     LACTF mailing list
> >     LACTF at lacnic.net <mailto:LACTF at lacnic.net>
> >     https://mail.lacnic.net/mailman/listinfo/lactf
> >     Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> >     <mailto:lactf-unsubscribe at lacnic.net>
> >
> >
> >
> >
> > _______________________________________________
> > LACTF mailing list
> > LACTF at lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lactf
> > Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> >
>
>
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20140514/2bd7af4b/attachment.html>


More information about the LACTF mailing list