[LACNIC/Seguridad] [LAC-TF] Revisión de IETF I-D: draft-ietf-6man-stable-privacy-addresses-00.txt

Dom Mayo 20 22:51:32 BRT 2012

Arturo Servin on Sat, May 19, 2012 at 06:13:57PM -0300:
> Si, pueden ser mala idea y tu draft lo puede reparar. Pero no creo que
> sea el momento de dar de baja un estandar. El primer paso es proponer
> una solucion alterna, el segundo sera verificar que funciona, y
> finalmete adoptarla como estandar y hacer obsoleto lo que no sirve.
> Estamos en el primero.

No ha sido implementado eso? Creo que se debería -- por otro lado,
afecta una parte muy limitada del protocolo que se puede analizar
fácilmente en la teoría.

> De los ataques, sigo creyendo que siguen siendo hoy por hoy,
> infactibles. De entrada no creo que solo necesitemos 2^24 bits que
> adivinar (creo que en practica se requieren al menos 2^30 o mas si no
> tienes suerte), pero aun asi son 16M de intentos, a uno por
> milisegundo son 16k segundos, o sea 279 horas (o casi 12 dias).
> Posible, pero en practica bastante ilusorio como atacante si pienso
> que va a funcionar.

Tampoco creo que la complejidad se reduzca *tanto* como Fernando lo
presentó pero quiero mencionar que 2^24 a un milisegundo por intento son
sólo 2^24/3600/1000 = 4.66 horas -- nada que presentaría un gran
problema en una red sin IDS. Eso es el caso para un escaneo exhaustivo
(sin tomar en cuenta los clusters de MACs) de un sólo manufacturer de
tarjetas. En la realidad vas a tener que escanear quizás una docena de
estos para tener la mayoría de equipos en una compañía mediana
cubiertos.

> Creo que en todo caso las tecnicas de uso de diccionarios o
> "well-known" host-id (.1, .254, .2, .100, etc.) son mas efectivo al
> dia de hoy.

Con certeza, per aún así el escaneo no es ilusorio.

saludos,
	Matthias
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20120520/279b57b9/attachment.sig>