Blog de opinion de Helios Mier sobre noticias, publicaciones,
y casos relacionados con la Seguridad Informática de Tecnologias de Información e Internet.
Poniendo en funciones un nodo IPv6 de prueba
Stay a while and listen..
Bueno estas son mis experiencias para poner un a red con acceso al protocolo IPv6 con lo que tenía a la mano o se pudiera conseguir de una manera más o menos sencilla.
Tengo dos accesos a internet, uno con AXTEL en su servicio wimax y otro con la cablecom y su servicio a traves del cable de tv. Ambas redes no tienen IP publica, en caso de AXTEL tiene un nivel de NAT y en el cable se ven 3 niveles de NAT. Esto lo hago notar puesto que tiene un impacto en lo que describire posteriormente.
Lo primero que se necesita es tener equipo de red que tenga habilitado el protolo IPv6, en el caso de windows si es XP sp3 o anterior hay que añadirlo manualmente a la lista de protocolos de red, de vista en adelante ya viene activado de fábrica. En el caso de linux depende de la distribución que se use, ya vendrá añadido al kernel.
El equipo activo de red es importante, sobre todo routers, gateways y dhcp's ya que en caso de IPv6 el ICMPv6 cumple muchas funciones de configuracion y control de la red que en IPv4 se hacian en protocolos individuales.
En este caso, ningun ruteador de los que usabamos comunmente (linksys, 2wire, ansel, etc...) venia listo para manejar IPv6, de manera que buscamos un ruteador útil. Como una referencia, los ruteadores que están listos de una manera mas o menos transparente para recibir asignaciones de bloques IPv6 cuando tu ISP te las envíe vienen todos con una certificación llamada "IPv6 Ready" ya sea en versión plata u oro. De forma que es importante considerar esto si estas construyendos nuevas redes puesto que no todos los equipos que se venden ahorita tienen implementado IPv6. Es una buena inversión ver a futuro este factor en nuevas redes.
La diferencia principal entre los equipos certificados IPv6 plata y oro es la implementación de todas las modalidades y funciones que tiene IPv6, en el caso de los nivel plata son equipos diseñados para recibir un bloque IPv6 y repartir direcciones a su subred, sencillos y funcionales, en el caso de equipo de nivel oro vienen con una implementación completa de los metodos para dar conectividad IPv6 como tuneles 6a4, 4a6 y teredo, asi como muchas funciones más de control de IPv6.
De los routers caseros, me di a la busqueda con los proveedores de hardware, practicamente toda consulta que hacia en internet sobre recomendaciones me decian como primer lugar absoluto en preferencias el router D-Link DIR-655 Xtreme N Gigabit IPv6 Ready Gold, que es un router casero, red wifi tipo N de 300 mbits, 4 puertos de lan de gigabit, un puerto USB para compartir recursos de hardware por la red y una infinidad de funciones de administración de red como firewall, vpn, bloqueo de sitios, etc. Muy bueno el hardware, con un precio de entre 2,800 a 3,000 pesos.
Tambien la siguiente opción más recomendada era usar un router con el custom flash Open WRT que tenga compilado modulos para IPv6, pero despues de estudiar esta opción, no todos los routers que les puedes poner OpenWRT tienen la capacidad de manejar tuneles IPv6, de manera que te recomiendan que termines comprando un D-link como el anterior descrito.
Ahora la parte más importante, el acceso a IPv6.
En teoría, todos los ISPs del mundo tienen que cambiar a IPv6, el problema es cuando. Durante el IPv6 Day México del año pasado, el único que se ha pronunciado de forma oficial sobre su transición a IPv6 es telmex, quien prometió que para la primera mitad del 2012 desplegaría direccionamiento a los usuarios caseros, con una implicita declaración de que tendría que cambiarle los routers a mucha gente.
De los otros ISPs que conozco, AXTEL podría hacer lo mismo igualmente con solo ponerle routers adecuados a la gente, a lo cual me di cuenta en semanas recientes que a clientes nuevos que contratan les esta dando routers D-link de los que tienen certificación plata de IPv6, pero no puedo decir con certeza si es con esa intención.
De los ISPs de cablera olvidense, los modems que entregan a los usuarios no pueden manejar direcciones IPv6 y no veo ninguna señal de que ni siquiera con una actualización de firmware pudieran lograrlo. Me da la completa impresión de que serán una piedra en el zapato para la transición a IPv6.
De esta manera, con el router adecuado podría ser de forma transparente la transición a IPv6 en la casa u oficina puesto que ya estaría listo para recibir un bloque de direccionamiento. En el caso de Infinitum de Telmex, en teoria se puede sustituir en router que te dan por uno propio solo poniendo la clave de usuario que te dan y podrías tener IPv6 desde el instante que empiezen a repartir direcciones.
Pero por el momento, ningún ISP más que los servicios empresariales (los mas grandes y caros) entregan IPv6 a los usuarios caseros. De manera que mi implementación de IPv6 tuvo que ser por medio de la modalidad Tunnel Broker.
Existen 3 principales consorcios que ofrecen acceso a un tunel IPv6 de forma gratuita, todos con dos modalidades: una direccion única para dar acceso a IPv6 a una sola estación o un bloque de direcciones para que uno mismo las administre, lo cual si hay una diferencia muy grande para aplicarlas.
Hurrican Electric
Una persona puede sacar una cuenta y pedir que le asignen una direccion IPv6 a lo cual te dan los datos del punto de entrada y salida del tunel.
El único requisito técnico crítico es que debes de tener una dirección IPv4 pública que sea capáz de responderles un ping directo, lo cuál con las estructuras de redes NATeadas que tenemos en méxico es practicamente imposible tener una.
Las infinitums de telmex en teoría reciben una IPv4 pública, pero no todas dejan pasar un ping y por lo tanto no pueden configurarse con este tunel. En otros lugares vi que Infinitum ya está NATeando a sus usuarios.
Para configurar una sola estación, tiene que estar directamente de frente al internet como IP pública, de manera que hay que poner el router en modo de fowardeo completo de dirección IP a la PC que será la que tenga salida. En este caso, el windows tiene de fabrica una configuración de acceso a red IPv6 por tunnel broker, y en el sitio de Hurrican te dan paso a paso las instrucciones para crearla y alimentar los datos del tunel. Lo malo de este proceso es que por tener el fowardeo de una sola IP, pues solo puedes tener una estación en tu red con salida.
Para configurar una red completa, el router con IP pública se alimentaría con los mismos datos de entrada y salida del tunel, asi como del segmento de red y direcciones a repartir.
De todos los métodos para dar acceso este tunel es el que menos esfuerzo requeriría siempre y cuando se cumpla con tener una IP pública.
Gogo6
Este es un tunel gratuito que se basa en descargar un cliente al sistema que configura el tunel cuando arranca el sistema, ya que tiene dos modalidades, tunes anonimo o registrado, y 3 diferentes tuneles por cada uno que el cliente selecciona si uno no esta disponible.
En el caso de usar un tunel anónimo, el cliente selecciona uno de tres posibles puntos de salida (ontario, amsterdam o sydney) y tratará de mantenerte la misma dirección siempre, la cuál cambiará dependiendo del tunel de salida.
En el tunel registrado, obtienes una cuenta donde te puedes conectar a un punto de salida manualmente, y siempre tendrás la misma dirección dondequiera que te encuentres puesto que el tunes se configura para darte siempre la misma IPv6 y ruta, bastante práctico cuando andas viajando. También es un requisito usar cuenta registrada para poder solicitar bloques de direcciones para tu red, a lo cual te dan un bloque ::/56 ¡¡para ti solo!!
Para configurar una sola estación, el cliente que se descarga se encarga completamente de configurar los accesos de red y de forma transparente recibes una dirección IPv6 con salida efectiva completa a IPv6 donde quiera que estes, se lo puedes poner a un servidor y conectarde a él desde donde quieras, sin VPNs, sin forwardear puertos, nada de ese tipo de cosas para pasar las NAT's.
Para configurar una red se pone complicado, como es el cliente el que mantiene el tunel abierto, tiene que haber una PC que siempre tenga el cliente en ejecución, en el momento que se apague la PC se cae el tunel y dejas de recibir ruteo. A través del mismo cliente se habilita una opción para que además de la dirección IPv6 que le dan a esa PC se te de un bloque de direcciones, y con la misma información del tunel que se tiene abierto, se ingresa la información al router de la red del punto de entrada y salida del tunel asi como del bloque de direcciones y subred, de esa manera el router entonces por DHCPv6 ya reparte direcciones a todas las PCs de la red y tendrán salida.
Hay que confesar que si es una lata darle salida a toda la red con este servicio, pero para ofrecer a una sola estación es lo más sencillo. Puedes sacar multiples cuentas y darle salida a cada PC, solo considera que técnicamente cada PC de tu red sería un sitio IPv6 independiente y cada comunicación tiene que irse a darle la vuelta al tunel aunque estén en la misma red.
SixXs
OK, este servicio a mi en lo personal se me hizo un dolor de cabeza puesto que tienes que registrarte y luego para poder solicitar una IPv6 y en especial para solicitar un bloque de direcciones tienes que enviar una petición con tus datos de contacto reales, una descripción del proyecto a realizar y en fin, te piden que los convenzas de que te den una dirección, y a estos días es momento que no les pude sacar un bloque de direcciones y los mande al carajo.
En teoría mucha gente lo recomienda puesto que ellos usan un cliente bastante más avanzado que es capaz de el mismo configurarotras PCs, pero pues no pude probarlo.
Detalles
Lo más importante a recordar es que son tuneles, todo tipo de comunicación va a ir primero a la salida del tunes, de manera que es mucho más lento, aunque la comunicación es sin pérdidas, la velocidad observada es de 350 a 500 ms de latencia. Todos los sitios visitados respondía bien, pero en sitios que envían más información si se notan extremadamente lento.
Todos los servicios de tunel usan el DNS público de google para localizar sitios IPv6, de manera en las estaciones cuando quieras entrar por ejemplo a un sitio de google, te enviaran primero a consultarlo por IPv6 preferente y en lugares como youtube o gmail, será muy lento debido a la velocidad del tunel.
Por seguridad hay que recordar sobre todas las cosas que en IPv6 todas las estaciones con una dirección son públicas (los pings pasan de extremo a extremo), se elimina el concepto de red privada a menos que tengas un firewall de por medio manualmente instalado y configurado a limitar el acceso a ciertas IPs o protocolos.
De la era del terror a la era del surveillance
Hoy cuando sali a caminar vi que en medio de una avenida pequeña donde se veian casas de lujo de repente aparecio algo que no estaba antes ahí, justo en una jardinera enmedio de la calle se levantaba un enorme poste como de 12 metros de alto, y en lo mas alto varios domos de camaras que reconocí inmediatamente, una de vista de ojo de pescado, una cámara giratoria con lente de largo alcanze y una cámara de visión nocturna apuntando fijamente al frente de una casa. Inclusive se notaba que los arboles del lugar habian sido cuidadosamente cortados para permitir una mejor visibilidad.
Alguien por ahí debe tener suficiente preocupación o miedo para tomarse la molestia de realizar tal inversión y sobre todo, hacer instalaciones en terreno público.
En otro lugar de la ciudad, una calle pública completamente fue cerrada colocando enormes enrejados a los extremos y una caseta de guardias controlan la entrada. Despúes me entero de que en esa calle vive una persona de la política local que en alguna ocación alguién intentó secuestrar y que recientemente su agresor que había sido detenido se acababa de escapar de prisión.
Si las personas con poder y dinero tienen tanto miedo de vivir en un país como el nuestro con la situación de inseguridad, ¿que nos dicen a nosotros?. Están tomando precauciones practicamente contra todos los demás, se defienden ante cualquier extraño, construyen y viven en fortalezas contra un enemigo que no pueden ver y por lo tanto no tienen mejor forma de defenderse más que violentanto los derechos de los demás y tomando medidas extremas de una forma completamente egoísta pensando que todos nosotros somos sus enemigos.
No se como traducir la palabra surveillance al español, porque no es algo como seguridad, es algo mucho más alla de vigilancia, de ninguna manera es protección de una víctima, sino la declaración extrema de que todos nosotros en algún momento haremos algo que será interpretado como dañino y nos observan esperando el momento en que parezca que atacaremos y si es posible, tomar medidas anticipadamente.
Se quiere brindar seguridad y libertad sospechando de todos y haciendo un juicio a priori.
El surveillance es completamente lo opuesto a un proceso de seguridad y salvaguarda, porque significa que se llego a un punto donde ya no se sabe que hacer contra un enemigo que no conocen sus motivos, tácticas y herramientas.
Es el punto donde la eficacia del proceso de seguridad ha fracasado y desmoronado, por lo que se adopta una "defensa de erizo" tratando de salvar por el mayor tiempo posible los activos que consideran importantes, dejando afuera todo lo demás.
La carácteristica mas importante de esta actitud de sospechar de todos, es el acto reflejo inevitable de realizar ataques contra los elementos que consideren más amenazantes para su defensa desesperada, en una espiral de ataques alimentada por miedo, paranoia y desubicación, se sacrifican de forma creciente derechos y libertades de todos los que estan fuera de la zona protegida.
"En Dios confiamos, a todos los demás los vigilamos" dice una broma usada frecuentemente entre los que estudiamos INFOSEC, sin embargo, cuando se toma en serio esconde un peligroso mal que es muy difícil comprender si no hasta que ya es muy tarde.
El ataque coordinado del copyright *actualizado*
Tenía rato sin postear algo, el trabajo de fin de año es abrumador, gajes del oficio.
Han ocurrido acontecimientos inesperados y novedades que se han desarrollado precipidadamente. La situación actual no es agradable.
#SOPA y su hermana bastarda #PIPA en estados unidos se colaban sigilosamente hasta los pasos finales para su aprobación en el congreso, pero una abrumadora campaña y presencia de ultimo minuto de figuras del mundo tecnológico, defensores de derechos civiles, juristas y otra gente de buena visión lograron que se estancara por el momento en una fase de debates y enmiendas, una batalla decisiva se ganó deteniendo la aprobación de esta ley en fast track, pero aún no esta completamente desechada.
#ACTA se firmó formalmente primero por Japón, Australia, Canada, Corea del Sur, Marruecos, Nueva Zelanda, Singapur, y Estados Unidos. Varios de ellos sin haber tenido realmente un proceso de discusión y aprobación de sus respectivos poderes legislativos antes.
También en europa #ACTA y enmiendas de #IPRED2 siguen vivas, las voces de mucha gente se manifiesta por no aprobarlas, pero desafortunadamente sus argumentos no estan siendo tomadas en cuenta y en el parlamento europeo así como en muchos países candidatos a unirse sigue su camino con poca resitencia.
En Francia #HADOPI se sigue aplicando, pudiendo decir que se va en 2 de los 3 strikes, seguramente en un futuro muy cercano cuando se decidan aplicar con mas fuerza explotará con violencia, figuradamente.
En España #LeySinde aunque ya aprobada, en los ultimas sesiones de ministros antes de la entrada del próximo gobierno, trato de colarse un reglamento que le daría el inicio de su aplicación; de una manera muy maliciosa antes de que los autores de esa ley salgan de sus puestos trataron de ponerla en marcha y pasarle la factura política al próximo gobierno, afortunadamente la presión política y civil antagónica al gobierno saliente resultó suficientemente fuerte para convertirla en un tema político delicado y que no fuera tratado como algo fast track, de manera que regresa a la congeladora por el momento.
En México la situación es aún mas grave, durante un periodo de días festivos se propuso y se aprobo en menos de 5 minutos una reforma #IMPIpolicial , una evidente aberración legal que daba al organismo promotor de la propiedad intelectual una autoridad e independencia para realizar inspecciones en casas y comercios sin contar con orden de un juez, y adicionalmente una peligrosa atribución para acusar ipso facto de cualquier cargo a quienes se niegen a una inspección.
Adicionalmente en México, un día después se cuela entre el paquete de leyes de fin de año la #LeyDoring , una versión frankestein de los argumentos de #ACTA con aún mayores discrepancias e inconsistencias legales. Lo mas triste de este suceso es que el promotor de esa Ley, Federico Doring, fue uno de los que participaron en el comité de discusión de la firma de #ACTA y que en sus propias palabras, publicamente prometió que ese tipo de leyes no pasarían en México. (esta grabado todo)
En Colombia se surgio de la nada la propuesta #LeyLleras, otra bastardización de #ACTA que fue retirada por la abrumadora oposición de la creciente influencia de la blogósfera.
En India una #PRECENSOR busca forzar a facebook y google a establecer filtros preventivos a la aparición de contenido que denigre la cultura local definida por un comité de ministerio de telecomunicaciones. Algo más peligroso puesto que abarca todo tipo de contenido no solo violaciones de propiedad intelectual.
En una escala mas grande se encuentra el Acuerdo Comercial Trans Pacífico #TPPA, que contiene numerosas ambiguedades relativas al copyright como la duración infinita de los derechos de autor, fuertes sanciones contra la producción y comercio de medicamentos genericos, limitación de patentes y derechos expirados, así como la protección de derechos de patentes y registros intangibles como las prácticas de negocios y de software entre otros. Este tratado ya esta en marcha, pero otros países como México voluntariamente han pedido unirse a él.
Estos son los eventos de mayor renombre, han ocurrido mas cosas en otros paises, es demasiado como para pensar que son sucesos aislados. El copyright ha sido secuestrado para dar pretexto para ocultar muchos otros intereses codiciosos.