viernes, junio 08, 2007

RFC 4890: Recomendaciones sobre el filtrado de ICMPv6 en firewalls

A modo de actualización del articulo acerca de filtrado de ICMP, que solo tienen en cuenta ICMP para IPv4, comento la publicación de esta nueva RFC informativa. La RFC concretamente ofrece guías usando las siguientes categorías:

  • Traffic That Must Not Be Dropped - Tráfico que no debe ser bloqueado.
  • Traffic That Normally Should Not Be Dropped - Tráfico que normalmente no debe ser bloqueado.
  • Traffic That Will Be Dropped Anyway - Tráfico que sera filtrado de cualquier modo.
  • Traffic for Which a Policy Should Be Defined - Tráfico para el cual se debe definir alguna política.
  • Traffic That Should Be Dropped Unless a Good Case Can Be Made - Tráfico que debe ser bloqueado a menos de que exista una razón especial para no hacerlo.
Al igual que para ICMPv4 no se deben filtrar todos los mensajes de ICMPv6 ciegamente, esto puede acarrear serios problemas a los protocolos de transporte entre otras cosas. Por otro lado dejar pasar todos los mensajes de ICMPv6 puede crear serios problemas de seguridad. Lean la RFC atentamente si tienen habilitado IPv6.

Eventualmente si tengo algo de tiempo intentare hacer un resumen de los puntos importantes en castellano.

Referencias:
PD: Pronto publicare un articulo acerca de WPA2 enterprise, con backend tanto en linux como windows.

Saludos, Sebastián.-