[LACNIC/Seguridad] [LAC-TF] Fwd: RFC 7217 on A Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Autoconfiguration (SLAAC)

Iván Arce ivan.w.arce en gmail.com
Jue Mayo 15 17:41:12 BRT 2014


Arturo

El comentario que origina todo este hilo y la confusión fue el tuyo[1]:

> Para evitar que en una infraestructura de solo IPv4 te metan un "gol"
> usando IPv6. Sin embargo contrario a la opinion del autor :)  mi
> preferencia es que en lugar de deshabilitar la gente se ponga las pilas e
> implemente IPv6 como se debe.


Ello en respuesta al mail original de Fernando sobre RFC 7217.
Ni el autor del RFC 7217 (Fernando Gont) ni los autores del RFC 4941
(Narten, Draves & Krihsnan) sugieren deshabilitar IPv6 sin embargo tu
respuesta le atribuye esa opinion a algún autor.

Es *ese mensaje* y el siguiente de Carlos Martinez[2], el que genero mi
repuesta, indicando que deshabilitar la funcionalidad que no se necesita
es un principio general de seguridad conocidod desde hace décadas.

En tu siguiente mensaje, en respuesta al mio, nuevamente afirmás[3] que
alguien propuso deshabilitar IPv6, cosa que hasta el momento nadie habia
hecho (ni siquiera yo), y proponés una idea alternativa . Es en ese
contexto en el que yo dije que lo mejor es deshabilitar IPv6[4], cosa
que mantengo y estoy dispuesto a debatir ad infinitum.

En ese punto el hilo ya pasó a ser una discusión genérica a favor (en mi
caso) y en contra (en el tuyo y de Carlos Martinez) de deshabilitar IPv6
por defecto en entornos de redes corporativas, algo que nada tiene que
ver con el tema original. Esto último lo mencione explícitamente en mi
siguiente mensaje [5] pero talvez pasó desapercibido:

> De todas formas, el mensaje original no era respecto de deshabilitar
> IPv6 sino sobre deshabilitar generación de ifIDs segun RFC 4941.
> 
> Creo que si alguien se toma el trabajo de habilitar IPv6 (si el default
> fuera que este deshabilitado) tendría sentido que tambien habilite
> RFC4941 pero no estoy completamente convencido.

Dado este contexto, me gustaría entender a que te referís cuando decís
que tu trabajo es "aclarar" y "no dejar que se propaguen los mitos"

Cuales mitos? Parecería que estas haciendo una vaga alusión a lo que
dije en [4] sobre deshabilitar IPv6 pero ni siquiera eso me queda claro,
lo cual no es muy auspicioso para tu propósito de "aclarar".

Si fuera así, sería conveniente que lo manifiestes de forma mas clara y
también que lo discutamos en un hilo separado ya que es bastante
evidente que esa discusión no guarda ninguna relación con el tema del
RFC 7217 ni del RFC 4941.

Paradojicamente  yo tambien tengo interés en aclarar  el mito de que
desplegar IPv6 es beneficioso para mejorar la seguridad de las redes
cosa que escuchado frecuentemente en diversos foros en los que se
impulsa el despliegue de IPv6

saludos,

-ivan


[1] https://mail.lacnic.net/pipermail/seguridad/2014-May/002494.html
[2] https://mail.lacnic.net/pipermail/seguridad/2014-May/002495.html
[3] https://mail.lacnic.net/pipermail/seguridad/2014-May/002497.html
[4] https://mail.lacnic.net/pipermail/seguridad/2014-May/002503.html
[5] https://mail.lacnic.net/pipermail/seguridad/2014-May/002504.html


On 5/15/14 3:40 PM, Arturo Servin wrote:
> Fernando
> 
> Coincido que lo que dice el draft no es lo mismo que hemos discutido.
> Creo que es parte de como el mensaje se va degenerando como va pasando
> de voz en voz.
> 
> Por ahora nuestro trabajo será aclararlo y no dejar que se propaguen los
> mitos.
> 
> Slds
> as
> 
> 
> 
> 2014-05-15 4:42 GMT-07:00 Fernando Gont <fgont en si6networks.com
> <mailto:fgont en si6networks.com>>:
> 
>     On 05/13/2014 04:48 PM, Carlos M. Martinez wrote:
>     > Deshabilitar solo, como solución cuasi-mágica,
> 
>     Alguien propuso esto? Si es asi, donde?
> 
> 
>     Esto *si* es mencionado para evitar VPN leakages... La solucion no se
>     menciona como "magica" ni similar... sino mas bien como lo unico que te
>     queda por hacer en aquellos casos en los que el cliente VPN no soporta
>     IPv6 adecuadamente...
> 
> 
> 
>     > No es por maldad, es porque esta gente tiene ya demasiado para
>     hacer con
>     > lo que 'si esta permitido'.
>     >
>     > Una recomendación mucho mas sana podría ser: 'incluso en aquellas
>     redes
>     > donde no se permite el uso de ipv6 en la red corporativa, se debería
>     > implementar ipv6 como mínimo en el equipamiento de seguridad'.
> 
>     Cual es la "recomendación no sana"?
> 
>     Y... que es "implementar IPv6"?  (esto:
>     <http://www.ipv6hackers.org/meetings/ipv6-hackers-1/zack-ipv6hackers1-firewall-security-assessment-and-benchmarking.pdf>
>     se considera "implementar IPv6", por ejemplo?)
> 
>     Abrazo,
>     --
>     Fernando Gont
>     SI6 Networks
>     e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
>     _______________________________________________
>     Seguridad mailing list
>     Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 




Más información sobre la lista de distribución Seguridad