[LACNIC/Politicas] [LAC-TF] Fwd:I-D ACTION:draft-narten-ipv6-3177bis-48boundary-00.txt

Carlos Barcenilla barce at frlp.utn.edu.ar
Thu Jul 21 16:42:05 BRT 2005


Hola

    Con respecto a esta discusión quisiese resumir algunos aspectos de 
lo que se ha dicho, y que me hacen llegar ya a alguna conclusión. Aclaro 
de entrada que solo hablo de casos de IPv6.

    En lo que respecta a la publicación en WHOIS público, o la cesión de 
los datos por parte de un ISP para las asignaciones de /48 o /56. 
Empiezo resaltando que estas subasignaciones tienen una característica 
muy distinta a las subasignaciones que los ISP hacen a sus clientes en 
IPv4. En IPv4 lo que veo que se registran son subasignaciones de 
bloques, por ejemplo un /24, /25, /26... Tal como están las cosas en 
IPv4 el número de estas asignaciones es "manejable" cómodamente en una 
base de datos, y normalmente a lo que se refieren como "clientes" son 
organizaciones, y no personas particulares, es decir que es muy poco 
probable que estemos hablando de un hogar con ADSL al que se le asigne 
un prefijo IPv4 y se publique en el WHOIS.
   
    La asignación de prefijos /48 o /56 a los usuarios residenciales en 
IPv6 hace las veces a los efectos prácticos de lo que es en IPv4 una 
asignación estática de una dirección IP, ya que estas serían las 
unidades "mínimas" de asignación (eventualmente /64). De esta forma, el 
registrar en IPv6 cada asignación y publicarla en WHOIS de este tipo 
sería como hacer lo propio para cada IP que se le asigna a un usuario 
residencial, y esto no se realiza hoy hasta donde yo se.

    Aclarado el alcance del concepto y sus diferencias paso a resaltar 
algunos puntos según mi opinión, y según he venido leyendo en esta lista:

    a) Los ISP no verían con agrado el publicar los datos de sus 
clientes particulares. Estos datos son muy importantes a nivel 
comercial, y "cedérselos" gratuitamente a la competencia no veo que les 
haga mucha gracia. Como ejemplo se han citado aquí casos utilización 
inapropiada de estas bases de datos de clientes para propósitos 
comerciales, de publicidad, telemercadeo, fraudes, etc...

    b) Según leyes de protección de datos personales, y comparando con 
casos como la telefonía, los bloques asignados podrían ser considerados 
datos de este tipo y prohibida su publicación y/o cesión a terceras 
partes. Se comentó el caso europeo, se comentó que en LAC parece que 
solo Argentina tiene una ley de este tipo en la actualidad. Lo cierto es 
que en este aspecto hay tendencias jurídicas y que hoy sea dispar no 
quiere decir que a mediano/largo plazo varios países de la región no 
tengan leyes de este tipo.

    c) A los usuarios en particular supongo que no les agradaría que se 
publicasen sus datos si fuesen conscientes de sus implicancias. Tengan 
derechos legales o no a oponerse a la publicación. Tengamos también en 
cuenta que si bien a los efectos de asignación estas serían "similares" 
a un número telefónico de hoy, de lo que van a hacer publicidad en todo 
caso los usuarios será de URIs SIP o de direcciones de e-mail 
probablemente, y no de información de red.

    d) A nivel de seguridad no lo veo tampoco conveniente. Si tengo un 
"enemigo" y puedo acceder fácilmente a sus datos, su bloque IP, etc. Me 
facilitará el lanzar un ataque específico. Se que la seguridad por 
oscuridad no es lo más adecuado, pero tampoco es cuestión de irse al 
otro extremo.

    e) Dado el estricto direccionamiento jerárquico (provider 
aggregatable) de IPv6, no parece de gran utilidad siquiera conocer el 
nombre de la persona a la que se le asignó el bloque. Con conocer el ISP 
titular del bloque al que pertenece sería suficiente. Ya que a nivel 
operativo de red lo importante es localizar al ISP, y que este proceda 
ante un abuso por parte de un cliente como sea conveniente, y no salir a 
cazar a usuarios individuales. Se imaginan que a un atacante le cuelan 
uno de estos virus zombies, y que éste "destruye" desde ahí decenas de 
computadoras, y los afectados lo encuentran por el WHOIS, y deciden 
hacer justicia por mano propia. En todo caso será, como se ha comentado 
aquí, un juez el que pueda intervenir en caso de juicios por daños y 
perjuicios o lo que corresponda, los datos del usuario los tiene el ISP 
en su base de datos administrativa y los podrá ceder ante requerimiento 
judicial.

    f) En lo que concierne a la evaluación del HD-RATIO por el RIR para 
la asignación de nuevos bloques, parece ser de utilidad tener los datos 
de las asignaciones, sin embargo, como ya se ha comentado, puede ser que 
según la legislación de algún país esto no esté permitido al ISP. 
Supongamos que el país A tiene esta restricción, entonces no podrá dar 
esa información al RIR, con lo que éste deberá utilizar otros medios 
para evaluar el HD-RATIO. Ahora pensemos que el RIR al país A no pone el 
requisito de registración de cada subasignación, y a los países B, C, D 
si se los pone. ¿no hay una falta de equidad aquí? Entonces tal vez sea 
mejor evaluar para todos de otra forma.

    Resumiendo, en cuanto a publicar en un WHOIS público los datos de 
asignaciones de /48 o /56 a usuarios particulares: A los ISP no les 
gustaría hacerlo, a la ley no le "gusta" mucho, a los usuarios 
probablemente no les gustaría, a la seguridad no la "beneficia", a la 
operatividad global de la red no brinda ventajas y los RIR podrían vivir 
sin esta información.

    Como conclusión, veo que casi todos los aspectos son negativos (tal 
vez me los busqué negativos inconscientemente ;) no pareciendo 
recomendable registrar públicamente toda esta información.

    Pido disculpas por cualquier error conceptual que haya cometido, ya 
que no soy gran experto en la materia, por favor sépanme corregir.

Saludos.
Carlos.

   
Enrique Torres Angeles escribió:

>Hola Todos
>
>Les cuento un poco la experiencia que tuvimos aqui en Peru al respecto de la 
>confidencialidad de los datos cuando hace unos años comenzamos a implementar 
>el WHOIS y zonas WHOIS delegadas para alimentar los registros de ARIN.
>
>Con respecto a la declaracion de los datos completos en el WHOIS la 
>problematica que se dio fue la siguiente:
>
>1- Utilizacion de la base de datos whois por otros operadores de 
>telecomunicaciones para atacar la base de clientes internet de la competencia
>
>2- Utilizacion de las bases de datos whois para crear bases de datos de 
>publicidad o telemercadeo
>
>3- Utilizacion en contadas oportunidades para fraudes basandose en la 
>informacion de la base WHOIS.
>
>
>Contra esta problematica se opto en dos alternativas y creo que son las que se 
>deben analizar
>
>1- Declarar el bloque IP con el nombre de la Organizacion que lo tenia 
>delegado pero en la seccion de contactos administrativos y tecnicos que son 
>los datos visibles se publico la informacion del contacto tecnico y 
>administrativo del ISP que delega el numero.
>
>Internamente existian datos que no eran mostrados donde estaba la data real 
>del usuario.
>
>2- Tuvimos solo un caso en donde el cliente no quiso que apareciera ninguna 
>informacion sobre el y se declaro como si el bloque estuviera utilizado por 
>el ISP y con sus contactos administrativos y tecnicos.
>
>Cabe mencionar que en este caso fue el que mas complicacion nos creo porque 
>nos llevo a analizar la opcion de añadir un campo que indique el 
>Representante y el Beneficiario del bloque a fin de que solo se publique en 
>el WHOIS los datos del Representante.
>
>
>En conclusion lo que les quiero decir es que este no es un problema complicado 
>de solucionar es un problema mas que todo del tipo administrativo que implica 
>adicionar datos al WHOIS algunos de los cuales no son publicados y definir 
>una opcion al momento de que registra el usuario los datos en que le permite 
>decidir si quiere mantener los datos confidenciales o no.
>
>Es claro que ante los RIR esta opcion no era aplicable era solo aplicable para 
>declarar la sub delegaciones hechas por el ISP.
>
>
>Saludos,
>            Enrique
>  
>




More information about the Politicas mailing list