Filtrado tráfico IPv6

Totalmente de acuerdo. 

Yo pensé cuando me apunté al piloto de IPv6 que esto ya lo habrían pensado (ingenuo que es uno) y en ningún caso iban a poner algo en marcha que es una bomba de relojería. 

El caso es que en la interface web de alejandria hay un apartado llamado ipv6 que serviría para abrir puertos a direcciones ipv6 lo cual hace pensar en que la política que está pensada es la de filtrado por defecto, pero se ve que esto no está implementado en el router y mientras no lo esté yo lo voy a tener deshabilitado. Claro eso yo lo hago yo que se de esto, pero el 99% de la gente no y se pueden generar muchos problemas graves de seguridad. Creo que lo único que salva un poco la situación es que el espacio a escanear es muy grande, pero vamos que existen opciones.

SAludos

Buenas jmfontani 

Obviamente es una locura, de echo en el artículo gran parte de él se centra en los problemas que IPv6 va a generar a los usuarios por el desconocimiento, que eso que desean por encima de todo va a ser el desastre en muchos casos.

Está claro que el tener IPv6 no implica tener expuesta una red local, todo es una sencilla cuestión de como configures todo. Es más, como si quieres evitar la asignación de IPv6 globales y usar IPv6 privadas. IPv6 es bastante flexible, pero aquí hay que tener en cuenta el ámbito de aplicación, hablamos de equipos y redes domésticas, donde los usuarios el 99% no van a configurar nada, todo por defecto, donde solo quieren conectar y olvidarse. De echo como digo es irónico porque los que más se quejan son los que requieren abrir puertos y tienen problemas con NAT, y precisamente son los que ahora menos se quejarían a expensas de problemas importantes de seguridad.

La cuestión no es que no puedas configurar un Firewall para que por defecto descartes el tráfico entrante no solicitado, esto es trivial con ip6tables, la cuestión es llevar esto a un Router doméstico, después de años y años y años de malas praxis. NAT es diferente, porque realmente NAT hace esto de forma automática innata, es un efecto secundario de NAT, como tienes que hacer NAT obligadamente, por defecto vas a filtrar todo el tráfico entrante que no tenga un puerto destino claro.

Pero no es tan sencillo para los fabricantes que llevan tantos años sin mirar IPv6, sobre todo de cara al usuario doméstico final. Primero, y como es obvio, requieres de utilidades internas necesarias para permitir todo esto. Pero ya no es de cara interna, si aplicas por defecto reglas que impidan el tráfico externo, automáticamente debes de crear una interfaz Web que permita ajustar reglas de entradas personalizadas para crear "agujeros" en el Firewall para permitir las conexiones. Y esto a su vez requiere que todo el motor del guardado de ajustes tengan en cuenta toda esta nueva lógica, y potencialmente Alejandra o la aplicación Móvil (En caso de Movistar). Y cuando tienes entre manos al menos 2 fabricantes diferentes, al menos 5 HGU diferentes todos ellos usando plataformas y software diferente... pues no es algo muy sencillo. Sin contar que tienes que darle herramientas "sencillas" al usuario final para poder configurar las cosas.

Y hasta cierto punto repito esto es tan solo un mal menor. El problema en las redes móviles es mucho peor. La mayoría a acogido IPv6 bajo red móvil como un gran júbilo, pero el 99% de ellos tendría que tenerlo deshabilitado, los dispositivos finales no están preparados a día de hoy para usar IPv6 con seguridad.

Esto hace imperativo dos cosas. Primero, asegurarse al 1000% a que a nivel de red local el Router funcione correctamente el Firewall Interno para IPv6, y repito que en mis pruebas no todos los HGU están correctamente actualizados en este punto. Y segundo, en redes móviles, o tienes rooteado/jailbreak el dispositivo un Firewall real, o deshabilitar IPv6 en el APN, no hay más.... o dentro de poco empezaremos a escuchar dramas de dispositivos hackeados

Yo distinguiría la política que se programa en el FW embebido en el router de las posibilidades que ofrece IPv6. En mi trabajo tengo IPv6 en todo el CPD y eso no significa que el backend esté expuesto a internet por poner un ejemplo. 

IPv6 permite que los dispositivos finales tengan direccionamiento público lo cual no quiere decir que deban estar expuestos a internet. La única política posible a aplicar es el filtrado por defecto de todo el tráfico entrante salvo aquel que sea contestación a tráfico iniciado desde dentro de la LAN o aquel que explicitamente abra el usuario. 

Y eso debe ser implementado en el router, tal y como se hacía con el NAT.

Es una locura abrir la LAN a internet, anda que no hay dispositivos vulnerables y sin parcheo desde hace años (una TV sin ir más lejos que tenga dualstack y da igual el fabricante que una vez pasados unos años dejan su firmware congelado).

Saludos

JM

Buenas jmfontani 

Tengo un artículo enorme sobre IPv6 que habla extensamente sobre esto y otros problemas, aunque aun no lo he publicado, tengo que darle mejor forma y tal.

La cuestión es simple. Con IPv6 no tenemos NAT, en lo bueno y en lo malo. NAT como efecto secundario positivo siempre nos ha protegido del exterior, con lo que el 99% de todos los dispositivos fabricados y vendidos partían de base con esto, que siempre o casi siempre íbamos a estar detrás de un dispositivo NAT, con lo que nuestros dispositivos no iban a estar expuestos a Internet, se delegaba la seguridad automáticamente en NAT.

IPv6 rompe esto porque la filosofía es totalmente diferente. La filosofía bajo IPv6 es que cada dispositivo tenga una conexión directa a Internet, NAT deja de tener sentido, y cualquier seguridad queda obviamente delegada en el propio dispositivo, no se centraliza. Y esto tiene mucho sentido, porque si precisamente una de las grandes ventajas de IPv6 es evitar NAT y dispositivos realmente conectados a Internet, para que vamos a meter en el Router NAT otra vez.

Pero aparece entonces el problema, porque todos los dispositivos quedan expuestos a Internet, y esto en un mundo que de siempre se ha dado por sentado que los dispositivos estaban protegidos en la red local por NAT, crea un problema de seguridad enorme. Esto realmente no es culpa del Router ni de IPv6, es culpa de los fabricantes y desarrolladores de no tener en cuenta la seguridad, que debe de implantarse a nivel de dispositivo final, no de Router.

Dado esto último, y que podemos esperar sentados muchos años a que los dispositivos finales implementen medidas de seguridad mínimamente decentes, es imperativo el uso de Firewall en los Router que actúen sobre todo el tráfico IPv6. Y esto es aun mayor problema en la red de datos, porque seguramente y sin que lo sepas, tu teléfono cuando usa datos tendrá ya activado IPv6, estará expuesto a Internet sin ningún tipo de protección, puesto que antes estabas bajo CGNAT, ahora no.

En los Router domésticos que tenemos en casa, al menos en lo relativo a los HGU, algunos de ellos sí tienen ya esto previsto y por defecto se aplica el Firewall a todo el tráfico IPv6, filtrando por defecto todo el tráfico entrante no solicitado, algo similar a la protección por defecto que hace NAT, aunque no es NAT. Pero en otros HGU puede que esto no ocurra.

En el propio artículo aun por publica explicaba que en al menos en el HGU6 y el Askey RT3505 parecía que se añadían reglas para IPv6 específicas, pero en uno de los otros Mitrastar había observado que en principio esto no era así. Pero son al menos 5 HGU y cada firmware es diferente, con lo que es imposible hacer un seguimiento completo.

En cualquier caso, repito, la seguridad con IPv6 se debe de integrar por dispositivo, no por Router, esa es la filosofía con IPv6. El problema en este punto no lo tienen tanto los dispositivos de sobremesa, sino dispositivos móviles, sobre todo teléfonos, tablets y dispositivos domóticos, puesto que podrían encontrarse con muy desagradables sorpresas.

Pero vemos de nuevo aquí la ironía, cuantos se habrán quejado siempre de no poder tener ipv6 para no tener problemas de puertos con consolas y otros, pero en cambio sin un Firewall IPv6 que precisamente impida esto dejarías la consola o el dispositivo que sea un tanto vendido en Internet. Lo que ganas por un lado, lo pierdes por otro.

Saludos.

Hola jmfontani.

Para poder ayudarte, envíanos por privado, (si accedes sobre nuestro nombre, se habilita la opción de mensaje privado) los siguientes datos: 
- Número de teléfono afectado 
- Nombre, apellidos y NIF de la persona titular la línea 
- Teléfono y persona de contacto, por si fuera necesario.

Un saludo.

Angela.