<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Fernando:<br>

    <br>

    Siempre más que interesante tu trabajo. Opino poco (más bien casi

    nada), pero soy un lector silencioso, sobre todo de la discusión de

    <meta charset="utf-8">

    I-D.gont-6man-stable-privacy-addresses.<br>

    <br>

    Con respecto a este draft:<br>

    <br>

    i. Increíble a lo que puede reducirse la asignación de IIDs y por

    ende, lo fácil que podrían adivinarse (caso VMWare ESX).<br>

    <br>

    ii. El contexto de este borrador está enfocado más en host de

    usuarios finales? Es decir, la idea del draf está es proteger las

    redes internas?<br>

    Como bien se discute creo que en enrutadores, por adminitración,

    siempre terminaremos poniendo algo fácil de ver, además que las

    topologías de core de red creo que siempre se podrán deducir

    fácilmente con cosas simples como trazas de rutas. Luego, servidores

    públicos, por razones obvias, muestran sus direcciones v6.<br>

    <br>

    iii. Leo entre líneas, un mensaje importante, me corriges: sería

    genial tener un mecanismo de asignación de IIDs que 'desmotive' los

    host scans, como lo que mencionaste de nmap. Es eso parte del

    espíritu de este draft? Yo lo vería muy positivo, como establecer

    algo en v6 que haga pensar a un posbile 'hacker', "el host scan ni

    pensar hacerlo, total, no servirá de nada".<br>

    <br>

    Saludos!<br>

    <br>

    --<br>

    Luis Carlos Solano.<br>

    <br>

    <br>

    On 4/20/12 12:21 AM, Fernando Gont wrote:

    <blockquote cite="mid:4F910060.5040202@si6networks.com" type="cite">

      <pre wrap="">Estimados,

Acabo de publicar un drafty draft ;-) sobre IPv6 host scanning.

El mismo se encuentra disponible en:

<a class="moz-txt-link-rfc2396E" href="http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt"><http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt></a>

El abstract del mismo dice:

---- cut here ----

   IPv6 offers a much larger address space than that of its IPv4

   counterpart.  The standard /64 IPv6 subnets can (in theory)

   accommodate approximately 1.844 * 10^19 hosts, thus resulting in a

   much lower host density (#hosts/#addresses) than their IPv4

   counterparts.  As a result, it is widely assumed that it would take a

   tremendous effort to perform host scanning attacks against IPv6

   networks, and therefore IPv6 host scanning attacks have long been

   considered unfeasible.  This document analyzes the IPv6 address

   configuration policies implemented in most popular IPv6 stacks, and

   identifies a number of patterns in the resulting addresses lead to a

   tremendous reduction in the host address search space, thus

   dismantling the myth that IPv6 host scanning attacks are unfeasible.

---- cut here ----

Cualquier comentario será mas que bienvenido.

FWIW, la solución al problema de host-scanning "tradicional" es, IMO:

[I-D.gont-6man-stable-privacy-addresses]

           Gont, F., "A method for Generating Stable Privacy-Enhanced

           Addresses with IPv6 Stateless Address Autoconfiguration

           (SLAAC)", draft-gont-6man-stable-privacy-addresses-01

           (work in progress), March 2012

Saludos cordiales, y gracias!

</pre>

    </blockquote>

    <br>

    <br>

    <pre class="moz-signature" cols="72">-- 

Luis Carlos</pre>

  </body>

</html>