- Firewalls
- Si no tenemos soporte IPv6 en nuestro site, debemos evitar que hosts de la intranet usen túneles Ipv6 a Ipv4 para alcanzar internet configurarndo los firewall IPv4 para descartar todo el tráfico de salida marcado con protolo IP 41 (tunel). En el otro sentido, denegando en el firewall los paquetes IP 41 de entrada, evitaremos que alguien desde internet use un tunel para inyectar trafico ipv6 en la red
- Intranet con IPv6 ISATAP
- Configurar correctamente ISATAP de modo que la ruta por defecto nunca se dirija hacia la red IPv4 y siempre lo haga hacia el router ISTAP que es el elemento que manejará la redirección hacia la porción interna de la red que implementa IPv6
- En el firewall asegurar que se descartará el trafico IP 41
- Teredo
- Para prevenir que via Teredo se pueda establecer contacto con internet , igualmente como medida preventiva se descartará en el firewall el tráfico UDP 3544. Esta medida no sería eficaz si el puerto UDP se cambiase a otro y en ese caso tendríamos que recurrir a técnicas de inspeccion de tráfico
En el caso que tuviésemos que permitir tráfico IPv6 con internet, la recomendación principal es actualizar firewall, proxy e IDS para incluir funcionalidades IPv6, añadido a las ya comentadas de autoconfiguración de direccion y de seguridad en los paquetes IP
No hay comentarios:
Publicar un comentario