[LACNIC/Seguridad] Fwd: Algo sobre seguridad en IPv6
Fernando Gont
fernando en gont.com.ar
Mie Mayo 26 21:17:39 BRT 2010
Hola, Nicolas,
Muchas gracias por tu respuesta! Mis comentarios van entre lineas....
> Un comentario adicional al que se menciona de la no veracidad de la
> afirmación de que es muy difícil "barrer" una red IPv6 argumentando
> con la gran cantidad de direcciones por red, es que en general, si
> pensamos en ataques dirigidos a Routers o Servidores, claramente no es
> necesario "barrer" nada, puesto que las direcciones de estos son bien
> conocidas, o bien, las podemos buscar en el DNS... en todo caso, el
> método ese de "seguridad por ocultamiento" lo vería más efectivo para
> hosts...
Tal vez esto de "ocultamiento" se podria aplicar también a otros
sistemas de infraestructura, a los cuales los "usuarios" no tienen
porque contactar explicitamente, y que no necesariamente tienen que
estar publicados en el DNS (por ej., routers). (Aunque obviamente la
publicacion en DNS ayuda en la administracion...)
De cualquier modo, me parece que la información aportada por el trabajo
de David Malone (referenciado en mi presentación) es mas importante para
el caso de los hosts en general: en la práctica las direcciones no se
asignan de manera "aleatoria".
> aunque ya sabemos que se dice de la seguridad por
> ocultamiento. :)
Acá hay un punto interesante a notar que es el siguiente:
* En el caso de el ocultamiento de nodos debido al "gran espacio de
direcciones IPv6", esto es, ciertamente, "seguridad por ocultamiento"
(si asi se lo quiere).
* En el caso del uso de NATs, la "seguridad" en si no es por
ocultamiento, sino por "aislamiento" (*). Básicamente, los sistemas
detrás de un NAT usan un espacio de direcciónes que, valga el juego de
palabras, no es direccionable desde el exterior. Incluso si uno
conociera las direcciones (privadas) utilizadas, no podria enviar
paquetes a los mismos (**).
(*) Kudos a John Day (autor de "Patterns in Network Architecture") por
la obvservación.
(**) Asumiento obviamente que no exista ya un mapping en el NAT.
Saludos cordiales,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad