[LACNIC/Seguridad] [LAC-TF] Netfilter developers working on NAT for ip6tables
Fernando Gont
fgont en si6networks.com
Mie Nov 30 23:00:52 BRST 2011
On 11/30/2011 11:11 AM, Ivan Arce wrote:
>> La mia usa Skype para hablar y ver a mis hijas. Dado que existe NAT
>> dependo de software complejo para realizar una VC, cuando si tuviera
>> IP Global + FW (local de host o de red en mi CPE -o ambos-) un
>> sistema de directorio y una aplicación p2p harían el truco de tener
>> video + voz end-to-end sin sacrificar seguridad
>
> Su argumento parecería suponer que el stack IPv6 no es ni complejo ni
> esta plagado de fallas.
Coincido. Por otro lado, aquellas aplicaciones que hoy en dia funcionan
a través de NATs, básicamente ya tienen implementada la "maquinaria"
correspondiente.
>> Si esa hubiera sido la actitud en 1990 nos
>> hubiéramos quedado con x.25 e ISDN.
>
> Ese es un argumento contrafáctico e incontrastable. De la misma manera
> se podría argumentar que si la conectividad extremo a extremo fuera tan
> importante o necesaria sería mucho mas frecuente entre hosts IPv4 de lo
> que es y el ritmo de adopción de IPv6 hubiera sido mucho mayor en los
> últimos 13 años.
Desde mi punto de vista, muchas de estas cosas tienen que ver con buscar
argumentos de venta para un protocolo (i.e., mas marketing que otra cosa).
> Mi opinión personal es que IPv6 es el típico producto de diseño de
> comité, donde los intereses particulares y el peso político
No sé si están al tanto de este dato, pero lo cierto es que en su
momento la IETF iba a adoptar CLNP como protocolo para "reemplazar" a
IPv4. De hecho, se habia tomado tal decisión, pero luego se fueron para
atras.
El motivo -- Problemas de egos/orgullo. Basicamente ISO e IETF competian
en este area, y adoptar CLNP era como "dejarse mojar la oreja". (Un dato
a tener en cuenta es que a esa altura del partido, ya existian
implementaciones de CLNP, mientras que en el caso de IPv6, ni siquiera
existian).
> primaron
> sobre la sencillez y elegancia técnica para resolver problemas generales
> puntuales.
Un amigo dijo "IPv6: too little, too late". Ese seguramente sea el
problema detras de su poco despliegue.
> de IPv6. Tampoco soy partidario ni mucho menos fanático de esquemas NAT.
> Para atender la problemática de falta de direcciones IPv4 se podría
> haber planteado soluciones menos ambiciosas, mas sencillas y ya
> contempladas por los protocolos existentes (pe. usar para algo util las
> IP options
Coincido. -- Lo unico es que no sé si realmente llamaria a IPv6 algo
"ambicioso". -- Basicamente toquetea y modifica muchas cosas de IPv4,
apra terminar haciendo casi lo mismo.
> De todas forma me parece que lo que hasta el momento escapa a esta
> discusión es el escenario de uso de IPv6 que yo considero mucho mas
> probable que el de los "hosts tradicionales": Teléfonos celulares y
> otros dispositivos móviles donde la comunicación "extremo a extremo"
> pude ser algo mas esperable y deseable.
Entiendo que podrían haber algunas aplicaciones interesantes en
celulares. Sin embargo, luego de hablar con algunos fabricantes de
celulares que estan metiendo IPv6 en sus equipos, y luego de ver el
grado de (no) confidencia que tienen en las mismas, por lo pronto
preferiria seguir sin conectividad extremo a extremo.
Yo soy de la idea que al menos en el corto plazo, el objetivo con IPv6
debe ser "tener mas direcciones", y punto.
Saludos,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución Seguridad