[LACNIC/Seguridad] [LAC-TF] Presentaciones sobre seguridad IPv6

Carlos Martinez-Cagnazzo carlosm3011 en gmail.com
Mar Nov 1 17:06:58 BRST 2011 

Yo creo que si bien IPv6 tiene aspectos de seguridad que se deben
cuidar, estoy de acuerdo con que a medida de que seguimos apilando
capas de cosas en la red, no solo estamos introduciendo puntos
adicionales de falla, si no tambien dispositivos que se vuelven
blancos muy interesantes para posibles atacantes.

Y personalmente si, estoy filosóficamente de acuerdo con el press
release de ISOC en todo *menos* en lo del built-in security, que
efectivamente creo que no es muy así.

Creo que tenemos que dar un discurso mas balanceado. Si, el modelo
IPv6/IPv4 durante la transicion es complejo y va a exponer problemas;
pero eso *no es un problema de IPv6 mas de lo que lo es de IPv4*, es
una propiedad del fenomeno de *transición*.

Los problemas del modelo CGN/LSN *si son propios de ese modelo, son
permanentes y no van a desaparecer*; por lo que deberia estar claro
para todos donde nuestra región debería invertir sus esfuerzos.
Obviamente, la región de APAC ya no tiene esta chance y su realidad es
otra.

Hay vulnerabilidades en IPv6? Obvio que si. Las hay en IPv4? Obvio que también!

slds

Carlos

2011/11/1 Fernando Gont <fgont en si6networks.com>:
> On 11/01/2011 03:11 PM, Christian O'Flaherty wrote:
>> El mensaje va mas allá del período de transición. Es verdad que
>> tendremos una red muy compleja (mas compleja que IPv4 + NAT) por un
>> tiempo, pero cuando el mayor porcentaje sea IPv6 será mas plana y mas
>> simple. Eso sería lo ideal para Internet.
>
> Yo comparto de que no se dispone de una opcion mejor que IPv6, y por tal
> motivo, hay que desplegarlo. Lo que tambien creo es que la cuestion de
> "tiempos" es un signo de pregunta. Por ej., *cuando* eventualmente la
> red se volvera mas simple.
>
>
>>> "La complejidad" de algo es también viene dada por la expériencia con
>>> que se cuenta para trabajar en eso. Y está claro que en gral no se tiene
>>> con IPv6 la experiencia necesaria/deseable.
>>
>> Coincido que el corto y mediano plazo serán mas complejos en muchos
>> aspectos.... Pero la presentación es mirando al futuro de Internet y
>> buscando algo mejor para el futuro (seguir con IPv4 + NxNAT es peor
>> solución que pasar Internet a IPv6).
>
> Yo no argumento eso, eh! Esta clarisimo que IPv4+LSN tiende a algo
> horrible! Lo que digo es que el camino con IPv6, pese a ser la unica
> opcion, tiene una gran cantidad de interrogantes.
>
>
>
>>>> Large numbers of users in such a configuration would miss out on the
>>>> improved security and peer-to-peer connectivity of IPv6, leaving them
>>>> open to IPv4-based security attacks while confounding common
>>>> NAT-averse network applications compromising security procedures such
>>>> as IP address logging
>>>
>>> IPv6 no tiene "improved security". Es mas, en el corto y mediano plaza,
>>> me animaría a decir que todo lo contrario.
>>
>> Creo que la referencia a "compromising security procedures" tiene que
>> ver con la dificultad de rastrear el origen de un ataque cuando la red
>> se vuelve tan complicada (túneles, NATs, etc)
>
> Si, aunque de nuevo, en el corto y mediano plazo, la red IPv6 tambien va
> a tener de esas cosas.
>
> Por otro lado, el problema de "rastrear" en si lo vamos a tener por una
> buena cantidad de años, ya que IPv4+LSN (independientemente del
> despliegue de IPv6) es una realidad.
>
>
>>> Por otro lado, al menos para las redes generales, va a ser bastante raro
>>> que haya "peer-to-peer conectivity" (lo que yo llamo "end-to-end"
>>> connectivity). De hecho, lel propio IETF estandarizó que los CPE
>>> hogareños tengan un firewall habilitado por defecto, que solo permita
>>> "conexiones salientes". -- Comcast está desplegando exactamente esto, de
>>> hecho.
>>
>> Mi interpretación de peer to peer connectivity es: Si mi proveedor me
>> asigna un IP privado y el tuyo te asigna un IP privado, no podremos
>> tener la simplicidad del establecimiento de conexiones tal como fue
>> pensado el TCP (y al UDP lo complica mas). No habrá manera de evitarlo
>> porque los proveedores no asignarán IPs públicas.
>
> EL tema es: cuantos usuarios hogareños (por ejemplo) están en
> condiciones de "override" un "default setting"?
>
>
>
>> Tal vez pocos aprovechen esta posibilidad, pero será elección del
>> usuario. Esos pocos, podrán inventar nuevos servicios mas facilmente y
>> sin pedirle permiso a su proveedor.
>>
>> Coincido con el presentador en que mas uso de NATs es algo que
>> perjudica a los usuarios finales y le da herramientas a los
>> proveedores de acceso que no sabemos como las utilizarán.
>
> Desde mi perspectiva, hay que desplegar IPv6 (en el caso general), y
> está clarisimo que plantear LSN+IPv4 como solucion a largo plazo es
> incorrecto.
>
> Personalmente, tomo la actitud de "ver como se puede mejorar la
> situacion respecto de IPv6", y me mantengo esceptico en materia de
> espectativas sobre "ventajas". Mas bien tengo como expectativa de que,
> mediante el uso de IPv6, la situacion no empeore.
>
> En tal sentido, yo prefiero limitar el mensaje a "Nos hacen falta
> direcciones, y lo que tenemos para lograr eso es IPv6". Un objetivo,
> humilde, pero claro y concreto (y suficientemente justificador del
> despliegue de IPv6).
>
> Un abrazo,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>



-- 
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================

Más información sobre la lista de distribución Seguridad