[dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mie Feb 6 11:43:56 -03 2019


Creo que lo entendí bien …

 

Si se bloquea tanto en el firewall como en el servidor DNS cualquier petición que hagas desde un prefijo 6to4, ese usuario (que puede haber configurado su propio DNS con sus direcciones 6to4), no tiene respuesta. Peor según “donde” este ubicado ese firewall y como se haga el bloqueo, podrías estar bloqueando incluso tráfico 6to4 peer-to-peer, que es perfectamente válido.

 

Creo que la recomendación tiene que ser cuanto menos matizada, y mucho mejor explicada, pero en cualquier caso creo que estas recomendando matar “moscas a cañonazos”: El problema no es 6to4, es el open resolver.

 

Podría llegar a estar de acuerdo contigo si el resultado del estudio fuera que el 95% (o mas) de los 6to4 son open resolvers, pero me indicas que es solo un 33%.

 

Por cierto que al no llegar el correo no se si viste la errata que tienes en las conclusiones, estas pidiendo que se bloquee 2001::/16 !

 


Saludos,

Jordi

 

 

 

De: <dns-esp-bounces en listas.nic.cl> en nombre de Alejandro Acosta <alejandroacostaalamo en gmail.com>
Responder a: DNS en español <dns-esp en listas.nic.cl>
Fecha: miércoles, 6 de febrero de 2019, 15:35
Para: <dns-esp en listas.nic.cl>
Asunto: Re: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS

 

Hola Jordi,

  Gracias por tu comentario. Quizás has entendido mal.

  No digo bloquear el usuario 6to4, digo bloquear los queries recursivos que vienen de servidores DNS en 6to4.

  Usualmente un usuario 6to4 tiene un DNS server de su ISP (que no está en una red 6to4), de hecho muchas veces será un servidor DNS IPv4

 

Saludos,

 

Ale,

 

 

El 6/2/19 a las 11:23, Hugo Salgado-Hernández escribió:
[ Meta-mensaje: no teníamos una política de DMARC en esta lista.
La acabo de habilitar, desde ahora los mensajes desde dominios
con DMARC reject serán "wrapped".
 
Abajo va un comentario muy interesante de Jordi que quizás algunos
no recibieron!
 
- Hugo ]
 
On 14:37 06/02, JORDI PALET MARTINEZ wrote:
Hola Alejandro,
 
Creo que en la conclusión hay una errata con el prefijo a bloquear ...
 
Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
 
Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
 
6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
 
Así que creo que esta recomendación es muy dañina.
 
Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
 
Saludos,
Jordi
 
 
 
-----Mensaje original-----
De: <dns-esp-bounces en listas.nic.cl> en nombre de Alejandro Acosta <alejandroacostaalamo en gmail.com>
Responder a: DNS en español <dns-esp en listas.nic.cl>
Fecha: miércoles, 6 de febrero de 2019, 14:19
Para: DNS en español <dns-esp en listas.nic.cl>
Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
 
    Hola, muy buenos días,
    
      Les quería comentar que acabo de publicar el siguiente (muy corto) post:
    
    https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/
    
    
      Basicamente viene de un estudio que venimos realizando en Lacnic que
    se llama IPv6 Open Resolvers.
    
      La conclusión del post es recomendar a los operadores de DNSs
    Autoritativos a no permitir consultas desde direcciones IPv6 6to4
    (2002::/16) porque > 30% de los servidores en estas direcciones son
    servidores abiertos a la recursividad.
    
      Se escuchan opiniones, quejas y cualquier variante positiva o negativa.
    
    
    Saludos,
    
    
    Alejandro,
    
    
    _______________________________________________
    dns-esp mailing list
    dns-esp en listas.nic.cl
    https://listas.nic.cl/mailman/listinfo/dns-esp
    
 
 
 
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
 
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
 
 
 
 
_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


_______________________________________________
dns-esp mailing list
dns-esp en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________ dns-esp mailing list dns-esp en listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp 



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20190206/72ad28a4/attachment-0001.html>


Más información sobre la lista de distribución dns-esp