[LACNIC/Seguridad] [LAC-TF] Revisión de IETF I-D: draft-ietf-6man-stable-privacy-addresses-00.txt

Arturo Servin aservin en lacnic.net
Dom Mayo 20 11:17:54 BRT 2012


	Te la pongo desde otro punto de vista (es lo bonito de los números, que depende de cuales uses la conclusión puede ser distinta).

	Al menos el 40% de los dispositivos finales en el Internet soportan IPv6 (Vista, Win7, OSx, Linux, y hasta XP -que no se si entren en la estadistica- ). Me estas diciendo que quieres cambiar el stack de IPv6 de todos esos dispositivos (sin contar servidores, equipos de red, firewalls, etc.) para depreciar un estandar que es vulnerable a un escaneo que en el mejor de los casos tarda 11 dias y cambiarlo por otro estandar que aun no sabemos si va a resolver el problema (por ejemplo que el nivel de aleatoriedad generada por el algoritmo no resulte la adecuada)?

Saludos,
as

On 19 May 2012, at 19:31, Fernando Gont wrote:

> On 05/19/2012 06:13 PM, Arturo Servin wrote:
>>> -- Y hay quienes tambien creen que el motivo por el cual la gente
>>> no ha desplegado IPv6 es porque el se lo cree inmaduro (en vez de
>>> la falta de un business case).
>> 
>> Una de cal por otra de arena para evitar que tarde mas en
>> desplegarse. Como comunidad de desarrollo de estandares creo que
>> hacemos menos daño tomando una mala decision tecnica (que yo creo que
>> no lo es) al no hacer un update del estandar que dar la impresion que
>> el estandar no esta maduro y eso haga que su adopcion sea mas
>> dificil.
> 
> Los estandares no estan maduros. Por una cuestión muy simple: IPv6 no ha
> tenido despliegue masivo. Fijate el delirio que es la selección de
> direcciones (addr selection), o toooooda la discusión sobre RFC6204bis.
> O los RFCs recientes sobre problemas con neighbor discovery, etc., etc.
> 
> *Esos* son problemas reales de madurez. Respecto a mi propuesta de
> generación de direcciones, Microsoft implemento algo parecido, pero con
> falencias (permiten host-tracking). Y dado el market-share de MS (>70%),
> la realidad es que tenemos el 70% de los clientes corriendo algo que no
> fue estandarizado por la IETF.
> 
> IPv6 no tiene el nivel de despliegue que tiene por cuestiones técnicas,
> sino por cuestiones económicas. Cuesta dinero, y no tiene buisiness case
> (mas alla de la importante "continuidad de negocio").
> 
> 
> 
>>> Por otro lado, las direcciones basadas en direcciones MAC son una
>>> mala idea. Esto jamas tendria que haber existido, y dada la
>>> situacion deberiamos al menos solucionarlo *formalmente* cuanto
>>> antes, para que los ataques de escaneo en IPv6 no sean posibles.
>> 
>> Si, pueden ser mala idea y tu draft lo puede reparar. Pero no creo
>> que sea el momento de dar de baja un estandar. El primer paso es
>> proponer una solucion alterna, el segundo sera verificar que
>> funciona, y finalmete adoptarla como estandar y hacer obsoleto lo que
>> no sirve. Estamos en el primero.
> 
> Entonces sufrimos por 10-15 años de ataques de escaneo.... en vez de
> evitarlos en el corto plazo.
> 
> 
> 
>>> Es triste que se adopte una postura conservadora con una tecnologia
>>> que representa menos del 1% del trafico global de Internet.
>> 
>> Es conservadora porque es importante. Ademas falta ver si lo que
>> propones es lo mejor, cuando el tiempo lo defina lo cambiamos.
> 
> Microsoft ya hace algo similar, pero con falencias.
> 
> Personalmente creo que uno debe ser conservador cuando se trata de
> tecnologias que estan siendo críticas. Dado que IPv6 representa menos
> del 1% del trafico global, creo que *este* es el momento de hacer los
> cambios, y *no* cuando la mayor parte de Internet dependa de IPv6.
> 
> Un abrazo,
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 




Más información sobre la lista de distribución Seguridad