Hola, muy buenos días,
Les quería comentar que acabo de publicar el siguiente (muy corto) post:
https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4...
Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers.
La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad.
Se escuchan opiniones, quejas y cualquier variante positiva o negativa.
Saludos,
Alejandro,
Hola Alejandro,
Creo que en la conclusión hay una errata con el prefijo a bloquear ...
Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
Así que creo que esta recomendación es muy dañina.
Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
Saludos, Jordi
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl en nombre de Alejandro Acosta alejandroacostaalamo@gmail.com Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 14:19 Para: DNS en español dns-esp@listas.nic.cl Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
Hola, muy buenos días,
Les quería comentar que acabo de publicar el siguiente (muy corto) post:
https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/
Basicamente viene de un estudio que venimos realizando en Lacnic que
se llama IPv6 Open Resolvers.
La conclusión del post es recomendar a los operadores de DNSs
Autoritativos a no permitir consultas desde direcciones IPv6 6to4
(2002::/16) porque > 30% de los servidores en estas direcciones son
servidores abiertos a la recursividad.
Se escuchan opiniones, quejas y cualquier variante positiva o negativa.
Saludos,
Alejandro,
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
[ Meta-mensaje: no teníamos una política de DMARC en esta lista. La acabo de habilitar, desde ahora los mensajes desde dominios con DMARC reject serán "wrapped".
Abajo va un comentario muy interesante de Jordi que quizás algunos no recibieron!
On 14:37 06/02, JORDI PALET MARTINEZ wrote:
Hola Alejandro,
Creo que en la conclusión hay una errata con el prefijo a bloquear ...
Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
Así que creo que esta recomendación es muy dañina.
Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
Saludos, Jordi
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl en nombre de Alejandro Acosta alejandroacostaalamo@gmail.com Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 14:19 Para: DNS en español dns-esp@listas.nic.cl Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
Hola, muy buenos días, Les quería comentar que acabo de publicar el siguiente (muy corto) post: https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/ Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers. La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad. Se escuchan opiniones, quejas y cualquier variante positiva o negativa. Saludos, Alejandro, _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola Jordi,
Gracias por tu comentario. Quizás has entendido mal.
No digo bloquear el usuario 6to4, digo bloquear los queries recursivos que vienen de servidores DNS en 6to4.
Usualmente un usuario 6to4 tiene un DNS server de su ISP (que no está en una red 6to4), de hecho muchas veces será un servidor DNS IPv4
Saludos,
Ale,
El 6/2/19 a las 11:23, Hugo Salgado-Hernández escribió:
[ Meta-mensaje: no teníamos una política de DMARC en esta lista. La acabo de habilitar, desde ahora los mensajes desde dominios con DMARC reject serán "wrapped".
Abajo va un comentario muy interesante de Jordi que quizás algunos no recibieron!
- Hugo ]
On 14:37 06/02, JORDI PALET MARTINEZ wrote:
Hola Alejandro,
Creo que en la conclusión hay una errata con el prefijo a bloquear ...
Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
Así que creo que esta recomendación es muy dañina.
Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
Saludos, Jordi
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl en nombre de Alejandro Acosta alejandroacostaalamo@gmail.com Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 14:19 Para: DNS en español dns-esp@listas.nic.cl Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
Hola, muy buenos días, Les quería comentar que acabo de publicar el siguiente (muy corto) post: https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/ Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers. La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad. Se escuchan opiniones, quejas y cualquier variante positiva o negativa. Saludos, Alejandro, _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Creo que lo entendí bien …
Si se bloquea tanto en el firewall como en el servidor DNS cualquier petición que hagas desde un prefijo 6to4, ese usuario (que puede haber configurado su propio DNS con sus direcciones 6to4), no tiene respuesta. Peor según “donde” este ubicado ese firewall y como se haga el bloqueo, podrías estar bloqueando incluso tráfico 6to4 peer-to-peer, que es perfectamente válido.
Creo que la recomendación tiene que ser cuanto menos matizada, y mucho mejor explicada, pero en cualquier caso creo que estas recomendando matar “moscas a cañonazos”: El problema no es 6to4, es el open resolver.
Podría llegar a estar de acuerdo contigo si el resultado del estudio fuera que el 95% (o mas) de los 6to4 son open resolvers, pero me indicas que es solo un 33%.
Por cierto que al no llegar el correo no se si viste la errata que tienes en las conclusiones, estas pidiendo que se bloquee 2001::/16 !
Saludos,
Jordi
De: dns-esp-bounces@listas.nic.cl en nombre de Alejandro Acosta alejandroacostaalamo@gmail.com Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 15:35 Para: dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
Hola Jordi,
Gracias por tu comentario. Quizás has entendido mal.
No digo bloquear el usuario 6to4, digo bloquear los queries recursivos que vienen de servidores DNS en 6to4.
Usualmente un usuario 6to4 tiene un DNS server de su ISP (que no está en una red 6to4), de hecho muchas veces será un servidor DNS IPv4
Saludos,
Ale,
El 6/2/19 a las 11:23, Hugo Salgado-Hernández escribió: [ Meta-mensaje: no teníamos una política de DMARC en esta lista. La acabo de habilitar, desde ahora los mensajes desde dominios con DMARC reject serán "wrapped".
Abajo va un comentario muy interesante de Jordi que quizás algunos no recibieron!
On 14:37 06/02, JORDI PALET MARTINEZ wrote: Hola Alejandro,
Creo que en la conclusión hay una errata con el prefijo a bloquear ...
Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
Así que creo que esta recomendación es muy dañina.
Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
Saludos, Jordi
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl en nombre de Alejandro Acosta alejandroacostaalamo@gmail.com Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 14:19 Para: DNS en español dns-esp@listas.nic.cl Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
Hola, muy buenos días, Les quería comentar que acabo de publicar el siguiente (muy corto) post: https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4... Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers. La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad. Se escuchan opiniones, quejas y cualquier variante positiva o negativa. Saludos, Alejandro, _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
Que raro, a mi me ha entrado (mi propio correo reenviado por la lista) correctamente. Cuando una lista afecta a DMARC, tengo un "filtro" que me lo rescata de la bandeja de spam. Eso si, creo que google y yahoo, directamente lo "tiran" ...
Saludos, Jordi
-----Mensaje original----- De: dns-esp-bounces@listas.nic.cl en nombre de Hugo Salgado-Hernández hsalgado@nic.cl Responder a: DNS en español dns-esp@listas.nic.cl Fecha: miércoles, 6 de febrero de 2019, 15:24 Para: DNS en español dns-esp@listas.nic.cl Asunto: Re: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
[ Meta-mensaje: no teníamos una política de DMARC en esta lista.
La acabo de habilitar, desde ahora los mensajes desde dominios
con DMARC reject serán "wrapped".
Abajo va un comentario muy interesante de Jordi que quizás algunos
no recibieron!
- Hugo ]
On 14:37 06/02, JORDI PALET MARTINEZ wrote:
> Hola Alejandro,
>
> Creo que en la conclusión hay una errata con el prefijo a bloquear ...
>
> Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.
>
> Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.
>
> 6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.
>
> Así que creo que esta recomendación es muy dañina.
>
> Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.
>
> Saludos,
> Jordi
>
>
>
> -----Mensaje original-----
> De: <dns-esp-bounces@listas.nic.cl> en nombre de Alejandro Acosta <alejandroacostaalamo@gmail.com>
> Responder a: DNS en español <dns-esp@listas.nic.cl>
> Fecha: miércoles, 6 de febrero de 2019, 14:19
> Para: DNS en español <dns-esp@listas.nic.cl>
> Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS
>
> Hola, muy buenos días,
>
> Les quería comentar que acabo de publicar el siguiente (muy corto) post:
>
> https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/
>
>
> Basicamente viene de un estudio que venimos realizando en Lacnic que
> se llama IPv6 Open Resolvers.
>
> La conclusión del post es recomendar a los operadores de DNSs
> Autoritativos a no permitir consultas desde direcciones IPv6 6to4
> (2002::/16) porque > 30% de los servidores en estas direcciones son
> servidores abiertos a la recursividad.
>
> Se escuchan opiniones, quejas y cualquier variante positiva o negativa.
>
>
> Saludos,
>
>
> Alejandro,
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
>
>
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
IPv4 is over Are you ready for the new Internet ? http://www.theipv6company.com The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
Hola Alejandro,
Según mi punto de vista (Y poniéndome los zapatos de un operador de servidores DNS autoritativos) prefiero contestar la mayor cantidad posible de consultas a clientes buenos y malos antes de bloquear a un potencial cliente válido.
Si lo que te preocupa es que tu servidor DNS pueda ser utilizado como amplificador de DDoS, creo que sería mejor utilizar un mecanismo como RRL para combatir ese problema.
El spoofing siento que es una suerte de batalla perdida con UDP en el lado de un servidor... pero el mismo mecanismo de RRL también serviría para evitar atorar a una potencial víctima.
Saludos!
On Wed, Feb 6, 2019 at 5:19 AM Alejandro Acosta < alejandroacostaalamo@gmail.com> wrote:
Hola, muy buenos días,
Les quería comentar que acabo de publicar el siguiente (muy corto) post:
https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4...
Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers.
La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad.
Se escuchan opiniones, quejas y cualquier variante positiva o negativa.
Saludos,
Alejandro,
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola,
Justo este tipo de comentarios (eg: Jordi, Mauricio) eran los que esperaba.
Me estan haciendo cambiar de opinión.., voy a agregar la idea de RRL al post y no hacer una recomendación tan "drástica".
Mil gracias !!
Saludos,
Alejandro,
El 6/2/19 a las 15:14, Mauricio Vergara Ereche escribió:
Hola Alejandro,
Según mi punto de vista (Y poniéndome los zapatos de un operador de servidores DNS autoritativos) prefiero contestar la mayor cantidad posible de consultas a clientes buenos y malos antes de bloquear a un potencial cliente válido.
Si lo que te preocupa es que tu servidor DNS pueda ser utilizado como amplificador de DDoS, creo que sería mejor utilizar un mecanismo como RRL para combatir ese problema.
El spoofing siento que es una suerte de batalla perdida con UDP en el lado de un servidor... pero el mismo mecanismo de RRL también serviría para evitar atorar a una potencial víctima.
Saludos!
On Wed, Feb 6, 2019 at 5:19 AM Alejandro Acosta <alejandroacostaalamo@gmail.com mailto:alejandroacostaalamo@gmail.com> wrote:
Hola, muy buenos días, Les quería comentar que acabo de publicar el siguiente (muy corto) post: https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/ Basicamente viene de un estudio que venimos realizando en Lacnic que se llama IPv6 Open Resolvers. La conclusión del post es recomendar a los operadores de DNSs Autoritativos a no permitir consultas desde direcciones IPv6 6to4 (2002::/16) porque > 30% de los servidores en estas direcciones son servidores abiertos a la recursividad. Se escuchan opiniones, quejas y cualquier variante positiva o negativa. Saludos, Alejandro, _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl <mailto:dns-esp@listas.nic.cl> https://listas.nic.cl/mailman/listinfo/dns-esp
-- Mauricio Vergara Ereche about.me/mave http://about.me/mave
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp