[LACNIC/Seguridad] [lacnog] ¿Cómo proteger una wireless IPv4-only de un ataque de RA IPv6?

[Iván Arce]

Hola,

que bueno que volvio el tráfico a la lista...

este mensaje es sólo para hacer un pequeño comentario que creo importante:

On 8/8/12 3:31 PM, Carlos M. martinez wrote:
> Ninguna de las soluciones a estos problemas es perfecta, todas tienen
> mejores o peores aspectos, como la mayoria de las soluciones de
> seguridad. C'mon, hasta el MD5 y el SHA-1 se pueden atacar, pero los
> consideramos como 'suficientemente buenos por ahora', y seguimos con
> nuestra vida,


MD5 NO ES "suficientemente bueno por ahora" y cualquiera trabajando en
definición de especificaciones técnicas o protocolos debería
considerarlo ROTO y evitar su uso. Lo mismo debería suponerse sobre
SHA-1 (talvez con menor medida de alarma.

> 
> Insisto con un punto que he mencionado antes: cualquier analisis de
> seguridad tiene que venir de la mano de una evaluacion de riesgo y de
> evaluacion de adversarios. Si adversario fuera el gobierno chino, bueno,
> estoy en problemas, pero esta no es la realiad de la mayoria de las
> redes de nuestra region.
> 
> Tambien es diferente si opero una red de 20 personas o de 20000, o
> muchas otras caracteristicas.
> 

EL problema en ambos ejemplos es que las especificaciones e
implementaciones de los protocolos, al igual que las consideracioens de
segurdidad, son las mismas para todos los casos.

Entonces, relativizar las fallas de seguridad haciendo relacion a
perfiles de atacante o de riesgo que no estan explicitamente definidos
(o siquiera descriptos) en las especificacioens técnicas (RFCs)
pertinentes puede ser peligroso.

saludos,
-ivan


PS: Yo no descartaria tan facilmente al gobierno de una potencial
mundial como potencial atacante interesado en vulnerar  la seguridad de
alguna futura red IPv6 de la region pero aún si no fuera así hay otros
perfiles de atacante on menos recursos que tambien se aplican