Filtrado tráfico IPv6
Buenos días, Estoy en el piloto de IPv6 movistar (fibra) y he verificado el siguiente problema: No se filtra el tráfico desde internet a las direcciones IPv6 que se autoconfiguran en los disposi...
Foro
Buenas jmfontani
Obviamente es una locura, de echo en el artículo gran parte de él se centra en los problemas que IPv6 va a generar a los usuarios por el desconocimiento, que eso que desean por encima de todo va a ser el desastre en muchos casos.
Está claro que el tener IPv6 no implica tener expuesta una red local, todo es una sencilla cuestión de como configures todo. Es más, como si quieres evitar la asignación de IPv6 globales y usar IPv6 privadas. IPv6 es bastante flexible, pero aquí hay que tener en cuenta el ámbito de aplicación, hablamos de equipos y redes domésticas, donde los usuarios el 99% no van a configurar nada, todo por defecto, donde solo quieren conectar y olvidarse. De echo como digo es irónico porque los que más se quejan son los que requieren abrir puertos y tienen problemas con NAT, y precisamente son los que ahora menos se quejarían a expensas de problemas importantes de seguridad.
La cuestión no es que no puedas configurar un Firewall para que por defecto descartes el tráfico entrante no solicitado, esto es trivial con ip6tables, la cuestión es llevar esto a un Router doméstico, después de años y años y años de malas praxis. NAT es diferente, porque realmente NAT hace esto de forma automática innata, es un efecto secundario de NAT, como tienes que hacer NAT obligadamente, por defecto vas a filtrar todo el tráfico entrante que no tenga un puerto destino claro.
Pero no es tan sencillo para los fabricantes que llevan tantos años sin mirar IPv6, sobre todo de cara al usuario doméstico final. Primero, y como es obvio, requieres de utilidades internas necesarias para permitir todo esto. Pero ya no es de cara interna, si aplicas por defecto reglas que impidan el tráfico externo, automáticamente debes de crear una interfaz Web que permita ajustar reglas de entradas personalizadas para crear "agujeros" en el Firewall para permitir las conexiones. Y esto a su vez requiere que todo el motor del guardado de ajustes tengan en cuenta toda esta nueva lógica, y potencialmente Alejandra o la aplicación Móvil (En caso de Movistar). Y cuando tienes entre manos al menos 2 fabricantes diferentes, al menos 5 HGU diferentes todos ellos usando plataformas y software diferente... pues no es algo muy sencillo. Sin contar que tienes que darle herramientas "sencillas" al usuario final para poder configurar las cosas.
Y hasta cierto punto repito esto es tan solo un mal menor. El problema en las redes móviles es mucho peor. La mayoría a acogido IPv6 bajo red móvil como un gran júbilo, pero el 99% de ellos tendría que tenerlo deshabilitado, los dispositivos finales no están preparados a día de hoy para usar IPv6 con seguridad.
Esto hace imperativo dos cosas. Primero, asegurarse al 1000% a que a nivel de red local el Router funcione correctamente el Firewall Interno para IPv6, y repito que en mis pruebas no todos los HGU están correctamente actualizados en este punto. Y segundo, en redes móviles, o tienes rooteado/jailbreak el dispositivo un Firewall real, o deshabilitar IPv6 en el APN, no hay más.... o dentro de poco empezaremos a escuchar dramas de dispositivos hackeados
Totalmente de acuerdo.
Yo pensé cuando me apunté al piloto de IPv6 que esto ya lo habrían pensado (ingenuo que es uno) y en ningún caso iban a poner algo en marcha que es una bomba de relojería.
El caso es que en la interface web de alejandria hay un apartado llamado ipv6 que serviría para abrir puertos a direcciones ipv6 lo cual hace pensar en que la política que está pensada es la de filtrado por defecto, pero se ve que esto no está implementado en el router y mientras no lo esté yo lo voy a tener deshabilitado. Claro eso yo lo hago yo que se de esto, pero el 99% de la gente no y se pueden generar muchos problemas graves de seguridad. Creo que lo único que salva un poco la situación es que el espacio a escanear es muy grande, pero vamos que existen opciones.
SAludos
