Protezione da Tunnel IPV6 indesiderati

Perché questo è un problema?

La configurazione del default gateway su IPV6 può avvenire, oltre che in modo statico, anche attraverso la propagazione, da parte dei router IPV6 attivi su un determinato segmento di rete, di messaggi di multicast detti Router Advertisement, o RA. Questi messaggi possono indicare a tutti gli host con stack IPV6 attivi sul segmento di rete la possibilità di autoconfigurare sia un indirizzo pubblico che il gateway di connessione.

Esistono numerosi meccanismi, inventati per facilitare la transizione a IPV6, che consentono di configurare tunnel su IPV4 verso proxy di connessione pubblici. Ad esempio 6to4, Teredo e vari sistemi di point-to-point tunneling come ad esempio www.sixxs.net ed i suoi tunnel broker. Una macchina connessa a questi di proxy di connessione pubblici diventa parte della IPV6 mondiale a tutti gli effetti, e può annunciarsi sulla rete locale come router IPV6 di default, fornendo in questo modo connessione IPV6 a tutte le macchine con lo stack IPV6 acceso.

Lo stack IPV6 è configurato ed abilitato di default su tutti i sistemi operativi recenti. IPV6 configura sempre un indirizzo funzionante a livello di link locale che consente di comunicare via IPV6 senza altra configurazione. Per scoprire quante macchine sulla vostra rete locale hanno IPV6 abilitato provate ad interrogare da una interfaccia di rete con lo stack IPV6 abilitato l'indirizzo di multicast 'all-devices'. Su Linux: 

ping6 -I eth0 ff02::1

Se a questo punto siete convinti dell'utilità di limitare le possibilità di autoconfigurazione di IPV6 sulla vostra rete inserite almeno queste regole nelle access list dei vostri router di frontiera:

Se qualche utente locale, per qualsiasi ragione, necessitasse di accesso IPV6, è il momento di pensare di abilitare la connessione IPV6 vera e propria, come descritto nelle prossime pagine.