[LACNIC/Seguridad] [lacnog] IPv6, el principio E2E, e IPv6 EH insertion

Jose Luis Gaspoz gaspozj en is.com.ar
Lun Nov 7 11:18:44 BRST 2016


Sip, eso a mi punto de vista sería desaconsejado.... PE: si los extremos de 
una conexión lo necesitan, deberían poder asegurar con alguna forma de 
AH.... o sea que el verdadero dueño del header debería ser el originador.

Saludos

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

-----Mensaje original----- 
From: Fernando Gont
Sent: Sunday, November 06, 2016 11:05 PM
To: Lista para discusión de seguridad en redes y sistemas informaticos de la 
región
Cc: lacnog en lacnog.org ; lactf en lac.ipv6tf.org
Subject: [lacnog] IPv6, el principio E2E, e IPv6 EH insertion

Estimados,

Cuestiones interesantes:

En mas de una oportunidad deben haber escuchado aseveraciones varias
referidas al principio End-To-End (E2E) e IPv6. De manera simple, en las
redes IPv4 se modifica constantemente los paquetes IPv4, principalmente
debido al uso de NATs. En principio, tales modificaciones "en vuelo" a
los paquetes pueden resultar en problemas dificiles de detectar y
solucionar (ya que el paquete que vemos en un punto de la red es puede
ser muy distinto al que se ve en otro punto de la red).

Uno de los argumentos en favor de IPv6 tradicionalmente ha sido que
justamente nos iba a librar de dicha cuestion, ya que, en principio no
iba a exitir NAT con IPv6 (esto en la practica ya no es así, pero eso es
otra historia).

Lo curioso del caso es algo que ha venido aconteciendo recientemente en
el ambito de IETF (precisamente en el 6man wg, grupo encargado de la
estandarización de IPv6): En dicho grupo actualmente se esta proponiendo
la implementacion de una tecnologia (segment routing), que se desea que
*inserte* encabezados de extension (EHs) en el punto de ingreso a la
red, y se los remueva en el punto de ingreso. (Si te preguntas de que se
trata la tecnologia, es algo asi como permitir "source routing", con la
diferencia que en este caso el "camino" lo elige la red en el punto de
ingreso).

Esa cuestión de insertar encabezados va en contra de IPv6 tal como se lo
conoce, y puede generar una cantidad de problemas (romper IPsec,
Path-MTU Discovery), y otras tantas. Asi y y todo, el tema se esta
dscutiendo en el grupo. Peor aun, pareciera como que se buscara generar
una ambiguedad en esta materia (donde no la hay), basicamente abriendo
el camino para que luego cosas tales como la insercion de EHs pueda
estandarizarse. (El motivador de esta cuestión es este documento:
https://datatracker.ietf.org/ipr/2421/)

P.S.: <https://youtu.be/By83GP_tIJE?t=16s>

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492




_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog




-----
Se certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7859 / Base de datos de virus: 4664/13362 - Fecha de la 
versión: 07/11/2016





Más información sobre la lista de distribución Seguridad