<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Fernando:<br>
    <br>
    Siempre más que interesante tu trabajo. Opino poco (más bien casi
    nada), pero soy un lector silencioso, sobre todo de la discusión de
    <meta charset="utf-8">
    I-D.gont-6man-stable-privacy-addresses.<br>
    <br>
    Con respecto a este draft:<br>
    <br>
    i. Increíble a lo que puede reducirse la asignación de IIDs y por
    ende, lo fácil que podrían adivinarse (caso VMWare ESX).<br>
    <br>
    ii. El contexto de este borrador está enfocado más en host de
    usuarios finales? Es decir, la idea del draf está es proteger las
    redes internas?<br>
    Como bien se discute creo que en enrutadores, por adminitración,
    siempre terminaremos poniendo algo fácil de ver, además que las
    topologías de core de red creo que siempre se podrán deducir
    fácilmente con cosas simples como trazas de rutas. Luego, servidores
    públicos, por razones obvias, muestran sus direcciones v6.<br>
    <br>
    iii. Leo entre líneas, un mensaje importante, me corriges: sería
    genial tener un mecanismo de asignación de IIDs que 'desmotive' los
    host scans, como lo que mencionaste de nmap. Es eso parte del
    espíritu de este draft? Yo lo vería muy positivo, como establecer
    algo en v6 que haga pensar a un posbile 'hacker', "el host scan ni
    pensar hacerlo, total, no servirá de nada".<br>
    <br>
    Saludos!<br>
    <br>
    --<br>
    Luis Carlos Solano.<br>
    <br>
    <br>
    On 4/20/12 12:21 AM, Fernando Gont wrote:
    <blockquote cite="mid:4F910060.5040202@si6networks.com" type="cite">
      <pre wrap="">Estimados,

Acabo de publicar un drafty draft ;-) sobre IPv6 host scanning.

El mismo se encuentra disponible en:
<a class="moz-txt-link-rfc2396E" href="http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt"><http://www.ietf.org/id/draft-gont-opsec-ipv6-host-scanning-00.txt></a>

El abstract del mismo dice:
---- cut here ----
   IPv6 offers a much larger address space than that of its IPv4
   counterpart.  The standard /64 IPv6 subnets can (in theory)
   accommodate approximately 1.844 * 10^19 hosts, thus resulting in a
   much lower host density (#hosts/#addresses) than their IPv4
   counterparts.  As a result, it is widely assumed that it would take a
   tremendous effort to perform host scanning attacks against IPv6
   networks, and therefore IPv6 host scanning attacks have long been
   considered unfeasible.  This document analyzes the IPv6 address
   configuration policies implemented in most popular IPv6 stacks, and
   identifies a number of patterns in the resulting addresses lead to a
   tremendous reduction in the host address search space, thus
   dismantling the myth that IPv6 host scanning attacks are unfeasible.
---- cut here ----

Cualquier comentario será mas que bienvenido.


FWIW, la solución al problema de host-scanning "tradicional" es, IMO:

[I-D.gont-6man-stable-privacy-addresses]
           Gont, F., "A method for Generating Stable Privacy-Enhanced
           Addresses with IPv6 Stateless Address Autoconfiguration
           (SLAAC)", draft-gont-6man-stable-privacy-addresses-01
           (work in progress), March 2012


Saludos cordiales, y gracias!
</pre>
    </blockquote>
    <br>
    <br>
    <pre class="moz-signature" cols="72">-- 
Luis Carlos</pre>
  </body>
</html>