[LACNIC/Seguridad] [LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

[Carlos M. Martinez]

Hola!

On 5/12/14, 10:03 PM, Iván Arce wrote:
> La experiencia práctica de los ultimos 15+ años me ha demostrado que
> esperar a que "la gente se ponga las pilas e implemente X como se debe"
> es una quimera.

Igual de quimera que creer que uno como administrador controla el 100%
del hw y sw que se conecta o usa la red. Aparentemente estamos ante una
elección entre quimeras.

Basta snifear un rato cualquier red para ver la cantidad increible de
basura que circula por ella para ver que esa ilusión de control
absoluto, es eso, una ilusión.

¿Cuantas redes corporativas de nuestra región implementan L2 security
(802.1X) ? Estoy seguro que hay honrosas excepciones, pero me temo que
no son la mayoría.

Mi problema con estas recomendaciones de 'deshabilitar X' es que en la
cadena de pensamiento de los administradores de redes corporativas, esto
fluye así:

1- emitimos una politica corporativa que dice 'deshabilito ipv6'
2- [1] implica que ipv6 no existe en la red
3- [2] implica que puedo ignorar ipv6 a todo nivel, en mi firewall, en
mis logs de dhcp, en mi antivirus, en mi antispam. De esa manera ahorro
costos, de todas maneras sintiéndome seguro

El problema es que [2] *no es cierto en la gran mayoría de los casos*
por lo que lo que sigue a continuación se cae por su propio peso.

Lo anterior no es exclusivo de IPv6, sustituyan IPv6 por <cualquier
tecnología ampliamente implementada en dispositivos que los usuarios
pueden comprar o conseguir> y se aplica exactamente lo mismo.

En la vida 'off line' sería el equivalente de decir que puedo no tener
policía porque de todas maneras los robos y los asesinatos están
prohibidos por una ley.

También en este caso estoy seguro que hay honrosas excepciones.

s2

~Carlos