[LACNIC/Seguridad] [LAC-TF] Revisión de IETF I-D: draft-ietf-6man-stable-privacy-addresses-00.txt

Arturo Servin aservin en lacnic.net
Sab Mayo 19 18:13:57 BRT 2012


On 19 May 2012, at 16:14, Fernando Gont wrote:

> On 05/19/2012 01:51 PM, Arturo Servin wrote:
>>> * El documento ya no updatea otros RFC. A mi criterio esto es mas bien
>>> un error técnico motivado por razones politicas... pero... en fin....
>> 
>> 	IMHO es muy pronto para proponer hacer un update a otros documentos. Veamos si la solución funciona y veamos.
> 
> Sabes cual es el motivo verdadero para no hacer el update? :-)
> 
> -- Que si se updatea estandares, hay gente que piensa que todavia el
> protocolo es inmaduro, y usan eso como excusa para no desplegarlo.
> 
> -- Y hay quienes tambien creen que el motivo por el cual la gente no ha
> desplegado IPv6 es porque el se lo cree inmaduro (en vez de la falta de
> un business case).
> 

	Una de cal por otra de arena para evitar que tarde mas en desplegarse. Como comunidad de desarrollo de estandares creo que hacemos menos daño tomando una mala decision tecnica (que yo creo que no lo es) al no hacer un update del estandar que dar la impresion que el estandar no esta maduro y eso haga que su adopcion sea mas dificil.

> La realidad?:
> Nos falta experiencia con la gran mayoria de las tecnologias
> relacionadas con IPv6... asi que si aplicaramos esta misma politica al
> resto de IPv6.... en fin :-)
> 
> Por otro lado, las direcciones basadas en direcciones MAC son una mala
> idea. Esto jamas tendria que haber existido, y dada la situacion
> deberiamos al menos solucionarlo *formalmente* cuanto antes, para que
> los ataques de escaneo en IPv6 no sean posibles.
> 

	Si, pueden ser mala idea y tu draft lo puede reparar. Pero no creo que sea el momento de dar de baja un estandar. El primer paso es proponer una solucion alterna, el segundo sera verificar que funciona, y finalmete adoptarla como estandar y hacer obsoleto lo que no sirve. Estamos en el primero.

	De los ataques, sigo creyendo que siguen siendo hoy por hoy, infactibles. De entrada no creo que solo necesitemos 2^24 bits que adivinar (creo que en practica se requieren al menos 2^30 o mas si no tienes suerte), pero aun asi son 16M de intentos, a uno por milisegundo son 16k segundos, o sea 279 horas (o casi 12 dias). Posible, pero en practica bastante ilusorio como atacante si pienso que va a funcionar. Creo que en todo caso las tecnicas de uso de diccionarios o "well-known" host-id (.1, .254, .2, .100, etc.) son mas efectivo al dia de hoy.

> Es triste que se adopte una postura conservadora con una tecnologia que
> representa menos del 1% del trafico global de Internet.
> 

	Es conservadora porque es importante. Ademas falta ver si lo que propones es lo mejor, cuando el tiempo lo defina lo cambiamos.

> Lo que esta mal habria que arreglarlo, y punto. :-) Y seguir trabajando
> para mejorar otros aspectos.

	Asi es, pero debemos hacerlo con cautela IMHO.

> 
> "The truth is out there" (http://en.wikipedia.org/wiki/The_X-Files) ;-)
> 
> Un abrazo,
> -- 
> Fernando Gont
> SI6 Networks
> e-mail: fgont en si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 

Saludos,
as


Más información sobre la lista de distribución Seguridad