Problema seguridad beta IPv6

jmfontani
Mi vida cambió con el ADSL
Problema seguridad beta IPv6

Buenas tardes,

 

Estoy en el piloto de IPv6 movistar (fibra)  y he verificado el siguiente problema: No se filtra el tráfico desde internet a las direcciones IPv6 que se autoconfiguran en los dispositivos con dual stack de la red interna. En la interface web no veo como restringir ese tráfico que debería ser el comportamiento por defecto. En la web simplificada que se presenta al acceder al router si se va al apartado IPv6 se facilita la apertura de puertos en IPv6 pero realmente no se está filtrando ninguno. Ni que decir tiene que dicha configuración por defecto es un peligro en tanto las redes internas suelen estar plagada de dispositivos vulnerables.

 

Si necesitáis pruebas os las puedo dar. He pedido que me quiten IPv6 mientras se soluciona pero por el momento sigue activado.

 

Saludos

pd: por suerte el espacio de búsqueda es tan enorme que dificulta encontrar esas direcciones, pero en el momento que estás accediendo a cualquier portal con ipv6 ya estás revelando tu dirección IPv6. 

Mensaje 1 de 4
904 Visitas
3 RESPUESTAS 3
Inforam
Yo probé el VDSL

Esto es así por las especificaciones del IPV6. No hay protección por NAT y todos los puertos son accesibles desde Internet. Esa protección hay que establecerla en el firewall del router, prohibiendo todo acceso que no haya sido establecido desde la red interna.

Mensaje 2 de 4
865 Visitas
jmfontani
Mi vida cambió con el ADSL

No tiene que ver con la especificación de IPv6, es la política por defecto que se aplica al enrutado. IPv6 permite aplicar cualquier política. 

La política aplicada por defecto enruta todo el tráfico a IPs internas y lo lógico sería que solo permita el tráfico de vuelta a peticiones internas o bien lo que así se configure explicitamente. 

De hecho, en la configuración de la interface web 'sencilla' hay una sección de ipv6 que está orientada a decidir que puertos para que IPv6 se permite alcanzar (que sería lo lógico).

Es que lo contrario puede ser un desastre.

¿Te imaginas la cantidad de dispositivos sin parchear que puede haber en la lan interna con dual stack y todos accesibles globalmente? Lo único que dificulta el ataque es que el espacio IPv6 es grande, pero se me ocurren formas sin haberlo pensado mucho.

 

Saludos

 

 

 

Mensaje 3 de 4
849 Visitas
Paloma-Movistar
Experto en Ciberfraude

Buenos días jmfontani.

Al ser un problema técnico, de configuración, plantéalo en el foro de asistencia técnica fibra y ADSL, los compañeros de ese área podrán atenderlo mejor.

Un saludo. 


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 4 de 4
751 Visitas