[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables

Fernando Gont fgont en si6networks.com
Mie Nov 30 23:00:52 BRST 2011


On 11/30/2011 11:11 AM, Ivan Arce wrote:

>> La mia usa Skype para hablar y ver a mis hijas. Dado que existe NAT
>> dependo de software complejo para realizar una VC, cuando si tuviera
>> IP Global + FW (local de host o de red en mi CPE -o ambos-) un
>> sistema de directorio y una aplicación p2p harían el truco de tener
>> video + voz end-to-end sin sacrificar seguridad
> 
> Su argumento parecería suponer que el stack IPv6 no es ni complejo ni
> esta plagado de fallas. 

Coincido. Por otro lado, aquellas aplicaciones que hoy en dia funcionan
a través de NATs, básicamente ya tienen implementada la "maquinaria"
correspondiente.



>> Si esa hubiera sido la actitud en 1990 nos
>> hubiéramos quedado con x.25 e ISDN.
> 
> Ese es un argumento contrafáctico e incontrastable. De la misma manera
> se podría argumentar que si la conectividad extremo a extremo fuera tan
> importante o necesaria sería mucho mas frecuente entre hosts IPv4 de lo
> que es y el ritmo de adopción de IPv6 hubiera sido mucho mayor en los
> últimos 13 años.

Desde mi punto de vista, muchas de estas cosas tienen que ver con buscar
argumentos de venta para un protocolo (i.e., mas marketing que otra cosa).



> Mi opinión personal es que IPv6 es el típico producto de diseño de
> comité, donde los intereses particulares y el peso político 

No sé si están al tanto de este dato, pero lo cierto es que en su
momento la IETF iba a adoptar CLNP como protocolo para "reemplazar" a
IPv4. De hecho, se habia tomado tal decisión, pero luego se fueron para
atras.

El motivo -- Problemas de egos/orgullo. Basicamente ISO e IETF competian
en este area, y adoptar CLNP era como "dejarse mojar la oreja". (Un dato
a tener en cuenta es que a esa altura del partido, ya existian
implementaciones de CLNP, mientras que en el caso de IPv6, ni siquiera
existian).


> primaron
> sobre la sencillez y elegancia técnica para resolver problemas generales
> puntuales. 

Un amigo dijo "IPv6: too little, too late". Ese seguramente sea el
problema detras de su poco despliegue.



> de IPv6. Tampoco soy partidario ni mucho menos fanático de esquemas NAT.
> Para atender la problemática de falta de direcciones IPv4 se podría
> haber planteado soluciones menos ambiciosas, mas sencillas y ya
> contempladas por los protocolos existentes (pe. usar para algo util las
> IP options

Coincido. -- Lo unico es que no sé si realmente llamaria a IPv6 algo
"ambicioso". -- Basicamente toquetea y modifica muchas cosas de IPv4,
apra terminar haciendo casi lo mismo.


> De todas forma me parece que lo que hasta el momento escapa a esta
> discusión es el escenario de uso de IPv6 que yo considero mucho mas
> probable que el de los "hosts tradicionales": Teléfonos celulares y
> otros dispositivos móviles donde la comunicación "extremo a extremo"
> pude ser algo mas esperable y deseable.

Entiendo que podrían haber algunas aplicaciones interesantes en
celulares. Sin embargo, luego de hablar con algunos fabricantes de
celulares que estan metiendo IPv6 en sus equipos, y luego de ver el
grado de (no) confidencia que tienen en las mismas, por lo pronto
preferiria seguir sin conectividad extremo a extremo.

Yo soy de la idea que al menos en el corto plazo, el objetivo con IPv6
debe ser "tener mas direcciones", y punto.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución Seguridad