Condividi:

Dubbi sulla sicurezza

Il forum dedicato al mondo dell'IPv6
Dubbi sulla sicurezza #1
ven nov 28, 2014 9:34 am
...la grande rivoluzione dell'IPv6 sta nella sua architettura che rende virtualmente tutti i dispositivi che hanno un IPv6 disponibili direttamente in rete...

gli IPv6 addegnati da FW non sono nattati dal gateway, che rilascia loro il prefisso....
ogni periferica è dotata di un IP ed è direttamente pubblicata.....

giusto?
...bene.... finalmente niente piu' forward....

pero'.... la sicurezza?!
avere periferiche direttamente collegate in rete, fa saltare la protezione del firewall, ogni dispositivo è collegato direttamente (ed è esposto) alla rete....
questo è un possibile problema.... per me!
DON'T PANIC!
Sic Transit Gloria Mundi
Non c'è peggior sordo di chi non vuol sentire

Non garantisco risposte via PM da utenti con < 100 messaggi
Avatar utente
Emme
Utente esperto
Utente esperto
 
Messaggi: 3547
Iscritto il: gio apr 03, 2014 12:52 pm
Località: Milano Sud

Re: Dubbi sulla sicurezza #2
ven nov 28, 2014 10:27 am
hmmmm.... spiegami meglio

intendi che la porta 22 del mio serverino è su internet? accedibile a tutti? nn c'è piu il firewall sul router? (la 22 è chiusa sul tecnicolor)

perchè se ho capito bene, vado a disabilitare subito l'ipv6 dalla mie macchine!

lino99
Primi passi
Primi passi
 
Messaggi: 40
Iscritto il: lun giu 30, 2014 12:46 pm
Località: napoli

Re: Dubbi sulla sicurezza #3
ven nov 28, 2014 10:37 am
è la domanda che ho fatto, in effetti ;)
pero' si, potrebbe essere cosi'... gli IP assegnati sono pubblici, non privati! (i privati credo siano solo gli fe80:: )
di base, in assenza di server bindati sull'ipv6 è tutto chiuso.. ma il protocollo è giovane e una falla si fa presto a trovarla (o a crearla)


aggiungo.. sarebbe utile poter cambiare la UI del technicolor per poter vedere gli IPV6 assegnati alle periferiche.. al momento le vedo tutte nell'eenco dei devices con IPv4 0.0.0.0 ;)
DON'T PANIC!
Sic Transit Gloria Mundi
Non c'è peggior sordo di chi non vuol sentire

Non garantisco risposte via PM da utenti con < 100 messaggi
Avatar utente
Emme
Utente esperto
Utente esperto
 
Messaggi: 3547
Iscritto il: gio apr 03, 2014 12:52 pm
Località: Milano Sud

Re: Dubbi sulla sicurezza #4
ven nov 28, 2014 11:59 am
Effettivamente tutti gli IPv6 della classe assegnata a Fastweb (2001:b07...) sono pubblici.
Nel mio caso, avendo il Router direttamente connesso al HAG con l'IPv6 configurato in modalità Passthrough, tutti gli IPv6 sono rilasciati dal mio HAG bypassando il Router (ed il suo Firewall) e tutte le porte in IPv6 sono aperte, quindi tutto è demandato al client connesso ed alle porte aperte su quest'ultimo.

Per vedere le porte aperte sui client, basta effettuare un "nmap -6" con tutte le opzioni che interessano, oppure utilizzare un tool online, per esempio questo: http://nmapv6.packetsize.net/ inserendo come "host to scan" l'IPv6 della macchina client (ovviamente).

Quindi, ATTENZIONE, controllate che le porte in IPv6 aperte sui Vs. client siano quelle che realmente vi interessa avere aperte. :)
Ultima modifica di morgan il ven nov 28, 2014 12:15 pm, modificato 1 volta in totale.
Fastweb IPv6 on Telsey CPVL7 testing in progress...
Netgear WNDR3700v1 OpenWrt Chaos Calmer Trunk
Immagine

morgan
Esordiente
Esordiente
 
Messaggi: 7
Iscritto il: gio ott 02, 2014 7:17 pm
Località: Milano - FTTH 100/10

Re: Dubbi sulla sicurezza #5
ven nov 28, 2014 12:09 pm
Che hag hai morgan?
MinGarantito Rimborsi_Disservizi
#ncp6DisdettaGratuitaSeVelocitàNonRispettata
AccessoNAS_WD ElencoProblemi
Ultimo post di un 3d che rimanda da un'altra parte, click su Immagine.
Fastweb di Scaglia era un'altra cosa da molti punti di vista, gestione forum compresa. Non mandate PM.
Avatar utente
mago43
Guru
Guru
 
Messaggi: 5393
Iscritto il: gio apr 03, 2014 3:19 pm

Re: Dubbi sulla sicurezza #6
ven nov 28, 2014 12:12 pm
mago43 ha scritto:Che hag hai morgan?


Telsey CPVL7 come da foto: http://i.imgur.com/4olLRTll.jpg
Ultima modifica di morgan il ven nov 28, 2014 12:14 pm, modificato 1 volta in totale.
Fastweb IPv6 on Telsey CPVL7 testing in progress...
Netgear WNDR3700v1 OpenWrt Chaos Calmer Trunk
Immagine

morgan
Esordiente
Esordiente
 
Messaggi: 7
Iscritto il: gio ott 02, 2014 7:17 pm
Località: Milano - FTTH 100/10

Re: Dubbi sulla sicurezza #7
ven nov 28, 2014 12:13 pm
thanks : )
MinGarantito Rimborsi_Disservizi
#ncp6DisdettaGratuitaSeVelocitàNonRispettata
AccessoNAS_WD ElencoProblemi
Ultimo post di un 3d che rimanda da un'altra parte, click su Immagine.
Fastweb di Scaglia era un'altra cosa da molti punti di vista, gestione forum compresa. Non mandate PM.
Avatar utente
mago43
Guru
Guru
 
Messaggi: 5393
Iscritto il: gio apr 03, 2014 3:19 pm

Re: Dubbi sulla sicurezza #8
ven nov 28, 2014 12:23 pm
cmq non è detto che per forza tutte le porte devono essere aperte... dipende da come è configurato il router che instaura il tunnel...

su DD-WRT per esempio, ci sono degli script che anche senza nattare, alzano un firewall che fa passare solo il ping...(RFC 4890)

almeno io ho capito così (parlo in generale e non per forza di Fastweb)

Dico, anche senza NAT su IPv6, via 6RD ci potrebbe essere protezione lo stesso...addirittura troppa protezione visto che il ping ad esempio è richiesto da quei siti che ti dicono quanto sei "IPv6 ready"

Un controllo fatto adesso su un Fastweb con 1100 per esempio, in questo momento o per come è configurato il router o per un errore dello stesso router ha il problema proprio di non far passare nulla... e questo non è un bene.

Almeno il ping deve andare secondo me, a meno che non sia il cliente a disabilitarlo...
MinGarantito Rimborsi_Disservizi
#ncp6DisdettaGratuitaSeVelocitàNonRispettata
AccessoNAS_WD ElencoProblemi
Ultimo post di un 3d che rimanda da un'altra parte, click su Immagine.
Fastweb di Scaglia era un'altra cosa da molti punti di vista, gestione forum compresa. Non mandate PM.
Avatar utente
mago43
Guru
Guru
 
Messaggi: 5393
Iscritto il: gio apr 03, 2014 3:19 pm

Re: Dubbi sulla sicurezza #9
ven nov 28, 2014 12:32 pm
mago43 ha scritto:cmq non è detto che per forza tutte le porte devono essere aperte... dipende da come è configurato il router che instaura il tunnel...

su DD-WRT per esempio, ci sono degli script che anche senza nattare, fanno passare solo il ping...

almeno io ho capito così (parlo in generale e non per forza di Fastweb)

Dico, anche senza NAT su IPv6, via 6RD ci potrebbe essere protezione lo stesso...addirittura troppa protezione visto che il ping ad esempio è richiesto da quei siti che ti dicono quanto sei "IPv6 ready"

Un controllo fatto adesso su un Fastweb con 1100 per esempio, in questo momento o per come è configurato il router o per un errore dello stesso router ha il problema proprio di non far passare nulla... e questo non è un bene.

Almeno il ping deve andare secondo me, a meno che non sia il cliente a disabilitarlo...


Ma nel mio caso avendo HAG Fastweb e non Router TG1100 (o simili) ed avendo configurato il Netgear WNDR3700v1 con OpenWrt a valle del HAG con IPv6 Passthrough via ebtables e bridging sull'interfaccia LAN, ho tutte le porte aperte, quindi faccio prima a configurare i firewall sui client, oppure devo smanettare con ebtables in modo che faccia da firewall.
Fastweb IPv6 on Telsey CPVL7 testing in progress...
Netgear WNDR3700v1 OpenWrt Chaos Calmer Trunk
Immagine

morgan
Esordiente
Esordiente
 
Messaggi: 7
Iscritto il: gio ott 02, 2014 7:17 pm
Località: Milano - FTTH 100/10

Re: Dubbi sulla sicurezza #10
ven nov 28, 2014 12:42 pm
morgan ma scusami, non è un router pure il tuo CPVL7 ?

Non credo sia un hag no?

Dovrebbe integrarlo pure lui il firewall mi sembra...

Il discorso è che probabilmente potrebbe proteggerti (se è abilitato) ma è configurato diversamente dai technicolor

E non sto parlando di NAT sia chiaro

Per esempio io ho un R7000 che fa passare solo il ping e posso tenerlo spento il firewall sui pc
MinGarantito Rimborsi_Disservizi
#ncp6DisdettaGratuitaSeVelocitàNonRispettata
AccessoNAS_WD ElencoProblemi
Ultimo post di un 3d che rimanda da un'altra parte, click su Immagine.
Fastweb di Scaglia era un'altra cosa da molti punti di vista, gestione forum compresa. Non mandate PM.
Avatar utente
mago43
Guru
Guru
 
Messaggi: 5393
Iscritto il: gio apr 03, 2014 3:19 pm

Prossimo

Chi c’è in linea

In totale c’è 1 utente connesso : 0 iscritti, 1 ospite (basato sugli utenti attivi negli ultimi 5 minuti)


Visitano il forum: Nessuno e 1 ospite

ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.