[LACNIC/Seguridad] [lacnog] Madurez de IPv6
Octavio Alvarez
octallac en alvarezp.org
Lun Ago 14 22:11:42 BRT 2017
On 08/08/2017 12:51 PM, Fernando Gont wrote:
> On 07/24/2017 03:38 PM, Octavio Alvarez wrote:
>> On 07/20/2017 12:45 PM, Fernando Gont wrote:
>>> Hola, Roque,
>>>
>>> Ciertamente esa es la conclusión final.
>>>
>>> Pero la otra parte es q a ipv6 se le han hecho numerosos updates, muchos
>>> de los cuales se los puede considerar "de último momento".
>>>
>>> La realidad es q tanto en materia de seguridad como en materia
>>> operacional, el protocolo empezó a recibir atención "en serio"
>>> básicamente en los últimos diez años (o incluso menos).
>>>
>>> Creer q es maduro no o estable solo ayuda a frenar posibles mejoras --
>>> lo cual, obviamente, no es una "ayuda", sino todo lo contrario.
>>
>> Coincido en parte, porque también me recuerda al kernel Linux 2.6 que
>> duró más de 2 años en desarrollo (se desarrolló como 2.5). Por una
>> parte, había muchas cosas donde el kernel 2.4 ya no daba para más pero
>> aún no se declaraba estable el 2.6 y por otra parte como el 2.5 era de
>> desarrollo todo mundo le seguía metiendo mano. Finalmente lo
>> estabilizaron y después comenzaron a salir los parches para la versión
>> estable.
>
> Salvo que mi entendimiento falle, en este sentido la gente de Linux la
> tiene algo mas clara: en algo -stable no se agregan nuevo "features"
> pero *si* se aplican paches de segurdad.
>
> En este sentido, en IPv6-land, hubieron paches que no se aplicaron
> (ejemplo: requerir cierta "decencia" :-) en los Frag IDs, para no dejar
> como "non-compliant" a implementaciones existentes.
Tu entendimiento corresponde a la manera en como actualmente se
desarrolla el kernel (-stable: major.minor.point.stable) ahora que el
merge window es de 2 a 3 semanas. La analogía que yo hago corresponde
más con la época en la que el kernel 2.6 (2.5) duró en desarrollo como 2
años.
Y pasó algo similar que con IPv6, un problema de huevo y gallina: nadie
consideraba suficientemente estable al kernel 2.5 como para ser liberado
2.6 pero jamás iba a ser estabilizado si no lo liberaban y eso
prolongaba aún más la liberación de 2.6 hasta que decidieron congelar y
liberaron y después estabilizarlo. Aprendieron la lección y acortaron el
ciclo de desarrollo, considerando que Linux tiene buena retrocompatibilidad.
Lo mismo pasa con IPv6. La diferencia con el kernel es que no es local a
una sola PC; en un protocolo como IP no se puede brincar fácilmente de
versión a versión debido a algunos defectos del stack mismo de Internet,
pero esa es otra historia.
Saludos.
Octavio.
Más información sobre la lista de distribución Seguridad