[LACNIC/Seguridad] [LAC-TF] Presentaciones sobre seguridad IPv6

[Fernando Gont]

On 11/01/2011 04:06 PM, Carlos Martinez-Cagnazzo wrote:
> Yo creo que si bien IPv6 tiene aspectos de seguridad que se deben 
> cuidar, estoy de acuerdo con que a medida de que seguimos apilando 
> capas de cosas en la red, no solo estamos introduciendo puntos 
> adicionales de falla, si no tambien dispositivos que se vuelven 
> blancos muy interesantes para posibles atacantes.

Completamente de acuerdo. La pregunta es: realmente vamos a poder evitar
esto? Para acceder al mundo IPv4, o hacemos LSN o NAT64 o Proxy64
(término "just coined" ;-) ). De nuevo, la estrategia frente al problema
de escasez de direcciones debe ser IPv6. Lo que digo es que la situación
en si es bastante jodida.



> Y personalmente si, estoy filosóficamente de acuerdo con el press 
> release de ISOC en todo *menos* en lo del built-in security, que 
> efectivamente creo que no es muy así.

Yo removi toda referencia a ISOC, ya que no se si quien hizo la
presentacion era de ISOC.au, ISOC, u otro, o si el articulo refleja
ralmente lo que el tipo dijo.



> Creo que tenemos que dar un discurso mas balanceado. Si, el modelo 
> IPv6/IPv4 durante la transicion es complejo y va a exponer
> problemas; pero eso *no es un problema de IPv6 mas de lo que lo es de
> IPv4*, es una propiedad del fenomeno de *transición*.

Exacto. Mi punto es que esa "transicion" (incluyendo NATs, tuneles,
etc.) es de algun modo inevitable. Si hoy en dia el despliegue de IPv6
fuera otro, la realidad seria otra. Pero con la situación actual, es
"complejidad" creo que es casi inevitable.



> Los problemas del modelo CGN/LSN *si son propios de ese modelo, son 
> permanentes y no van a desaparecer*; por lo que deberia estar claro 
> para todos donde nuestra región debería invertir sus esfuerzos.
> Obviamente, la región de APAC ya no tiene esta chance y su realidad
> es otra.

El problema acá es que "it's all about money". Cuando uno analiza casi
cualquier problema que afecta a muchas personas, en gral. siempre hay
detras cuestiones de dinero, poder, etc. La gran mayoría de las
organizaciones que están en la posicioón de hacer algo respecto al
despliegue de IPv6 tienen como razón de existencia "producir dinero", y
no "el bien de internet", "el bien de los usuarios", etc.

Es triste, pero es lo que es.



> Hay vulnerabilidades en IPv6? Obvio que si. Las hay en IPv4? Obvio
> que también!

A veces se ve como "malo"/hereje :-) hablar de vulnerabilidades IPv6. Yo
mas bien creo que es positivo que se trabaje en este area. NInguna
tecnología florece sin que se trabaje en la misma.

Hay areas relacionadas que incluso tienen "dos caras". Me ocurrió en
ocasiones hablar sobre "tecnicas de host scanning en IPv6". El
fundamentalismo IPv6 usualmente argumenta que es imposible, como si eso
fuera necesariamente algo bueno. Sin embargo, he encontrado gente que
trabaja en el area de penetration testing (ya sea servicios o productos)
a quienes la viabilidad de estos "ataques" les fue positivo, ya que la
misma les posibilita hacer auditorias...

La "mision" debería ser, de algun modo, "mejorar IPv6". Y transitando
ese camino, seguramente se encontraran una variedad de problemas, y
gracias a ello, y si trabajamos bien, también podremos encontrar las
soluciones correspondientes...

UN abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492