[LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

Fernando Gont fgont at si6networks.com
Thu May 15 08:07:56 BRT 2014 

On 05/14/2014 09:43 AM, Erick Lobo Marín wrote:
> 
>>Para poder hacer correlación en tales escenarios, necesitarías algo
>>como: <http://www.si6networks.com/tools/ipv6mon/>, que en IPv4
>>generalmente NO es necesario.
> 
> En relación con tu comentario se me ocurre que en IPv4 no eran
> necesarios los mecanismos comentados (RFC4941 y RFC7217), porque en
> general en la Enterprise se manejaba el NAT en combinación con políticas
> de Firewall, y de alguna forma se deba el ocultamiento de la dirección
> final y el tracking era más difícil de hacer. 

Herramientas como ipv6mon se utilizan para mantener una tabla con los
mapeos IP <-> MAC address. En IPv4, dichos mapeos han sido (en la
practica) tipicamente estables... entonces no hacia falta mantener un
registro de que IP addres se correspondia con que dirección MAC.

En IPv6, RFC4941 tiene el objetivo explicito de que dichos mapeos varien
en el tiempo, por lo cual se hace necesario mantener tal registro.


En lo que respecta a las cuestiones de privacidad, ciertamente en IPv4
el tema ha sido "solucionado" por el NAT.



> Con IPv6, por sus
> características (tales como: autoconfiguración stateless y suficiente
> direccionamiento) ya no aplica el NAT

Personalmente prefieron no entrar en la discusión sobre "aplica vs. no
aplica", porque termina en discusiones relegiosas, y en ocasiones medio
fundamentalistas. :-)

Personalmente, soy de la idea de que uno debe comprender que
caracteristicas aporta una teconologia, y cuales son sus contras. Y
luego evaluar para cada caso si su utilizacion tiene sentido. -- Está
claro que en IPv6 habrá tambien NAT (y no solo el lamado NPT)... mas
allá de las opiniones puristas de algunos.


> (o por lo menos no tienen mucho
> sentido el usarlo) lo cual produce que no se disponga el ocultamiento y
> el tracking, requiriendo considerar estas opciones.

Respecto al tracking (rastreo de sistemas a traves de redes), el
problema no es la falta de NAT, sino el hecho de poner lo que
basicamente es un "serial number" 8la MAC address), en un identificador
visible globalmente (una direccion IPv6).

Ver, por ejemplo:
<http://tools.ietf.org/html/draft-ietf-6man-ipv6-address-generation-privacy-01>.

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

More information about the LACTF mailing list