[LACNIC/Seguridad] [LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

Iván Arce ivan.w.arce en gmail.com
Mar Mayo 13 19:14:55 BRT 2014


Carlos

Aclaro por si hace falta hacerlo. Mi postura no es académica ni
literaria, toda mi experiencia profesional en la disciplina de seguridad
informática es como practicante no como académico.

Recomendar que en aquellas redes donde no se usa IPv6 se implemente IPv6
en el equipamiento de seguridad es algo, desde mi punto de vista,
riesgoso para el caso general.  Hacerlo en dispositivos específicos con
propósito de monitoreo de red tiene sentido, pero para ello no debería
hacer falta nada particular si suponemos que un dispositivo de monitoreo
de red captura todo el tráfico (con el nivel de agregación apropiado) no
solo el permitido por política.

En resumen, coincido en que aún cuando se haya deshabilitado IPv6 en la
práctica, no como política en papel sino con acciones concretas, es
recomendable monitorear y detectar su uso, precisamente porque puede ser
usado como vector de ataque contra aquellos sistemas que no lo tienen
deshabilitado.

PS: Yo no le atribuyo malicia al IETF, simplemente creo que la seguridad
es solo una variable de las múltiples que considera en su gestión
técnica y no necesariamente la de mayor peso.


saludos,

-ivan


On 5/13/14 6:48 PM, Carlos M. Martinez wrote:
> Hola,
> 
> On 5/13/14, 6:25 PM, Iván Arce wrote:
>> Bueno en esto ya entramos en el terreno de las opiniones
>>
>> Siguiendo esa lógica la recomendación de deshabilitar *cualquier cosa*
>> sería abstracta pero consideremeos tambien que hay una industria de
>> miles de millones de dólares que se dedica a solucionar ese problema
>> "abstracto" de gestionar los dispositivos (de red, endpoints, móviles,
>> etc) en redes corporativas.
> 
> Deshabilitar por defecto + implementar L2 security + implementar ipv6 a
> nivel de borde y en los equipos de seguridad seria algo menos abstracto:
> no tengo ipv6 en el 90-99% de los dispositivos, pero estoy preparado
> para analizar / filtrar /  y tengo a mi personal de gestión de red
> capacitado en IPv6, etc.
> 
> Deshabilitar solo, como solución cuasi-mágica, solo genera FUD, y crea
> un caldo de cultivo ideal para que luego el ipv6, que no va a
> desaparecer de la red completamente por un decreto corporativo, sea
> usado como vector de ataque, invisible para los administradores.
> 
> Creo que hay un gap entre la literatura y las posiciones académicas en
> estos temas (y en muchos otros) y lo que luego ocurre en la práctica, en
> redes de verdad.
> 
> 
>>




Más información sobre la lista de distribución Seguridad