[ITNOG] R: R: IPv6, anyone ?

[Enrico Bassetti]

Ciao a tutti,

sono un semplice studente universitario, non faccio parte di un ISP, ma
visto che seguo la lista e mi interessa questo argomento, aggiungo due
mie considerazioni (spero non siano un problema):


On Thu, 18 Oct 2018 14:57:15 +0200
"Andrea Costantino" <costan@amg.it> wrote:
> Ciao a tutti,
> 
> un po’ di considerazioni che mi vengono in ordine sparso.
> 
> *	IPv6 è male per la sicurezza di utenti finali, se il loro
> “CPE” è aperto a cozza.. abbiamo ancora un minimo di decenza
> sull’esplosione di ADSL solo perché al momento le uniche cose
> visibili da fuori dell’utente tipo sono il modem  - che magari è pure
> sfondato, ma comunque non contiene dati troppo sensibili (tranne caso
> della fonia) – e gli eventuali NAT impostati dall’utente

In realtà, dal punto di vista della sicurezza, aprire "a cozza" un
router IPv4 che fa NAT o aprire direttamente una macchina dentro una
LAN IPv6 non è che faccia poi molta differenza. Considerando che ci
sono attacchi che prendono di mira anche i resolver DNS e/o il routing
proprio sulle CPE.

Secondo me, per ovviare un po' di più a questo problema si potrebbero
bloccare le connessioni ingresso (anche sulla CPE) con un paio di
regolette di firewall. Salvo poi aprirle se l'utente vuole (e, a quel
punto, son problemi suoi). Un po' come "implicitamente" funziona ora
con il NAT ed il port-forwarding.

Enrico

-- 
Enrico Bassetti
PGP/GPG: 7642EA5E at pgp.mit.edu
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  833 bytes
Descrizione: non disponibile
URL:         <http://lists.itnog.it/pipermail/itnog/attachments/20181018/d31e8cec/attachment.sig>