<p dir="ltr"><br>
On Mar 13, 2014 4:22 PM, "Marco Sommani" <<a href="mailto:marcosommani@gmail.com">marcosommani@gmail.com</a>> wrote:<br>
><br>
> On 13/mar/2014, at 20:12, Eric Vyncke (evyncke) <<a href="mailto:evyncke@cisco.com">evyncke@cisco.com</a>> wrote:<br>
><br>
> > Jakob<br>
> ><br>
> > What annoys me more if the fact that AVM (and they are not the only one --<br>
> > see Technicolor & others) naively believes that NAT44 offered some<br>
> > security by preventing inbound connections... This means that there is NO<br>
> > open connectivity between two X/Box behind a closed AVM CPE... Hence X/Box<br>
> > has no choice and is smart enough to fall back in the legacy NAT44 mode<br>
> > with a TURN (or in this case Teredo) to bypass NAT. A very nice<br>
> > opportunity to run man-in-the-middle attack on a foreign ground.<br>
><br>
> AVM is not alone in its choices: they just do what is suggested in RFC 6092 - "Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service". I don't like what they do, but maybe we should blame IETF.<br>

><br>
> Marco<br>
></p>
<p dir="ltr">I believe there is an exception for allowing inbound ipsec in the rfc ... but this really goes to show how stateful firewalls are more harm than good in the general case.</p>
<p dir="ltr">AVM may as well stay on ipv4 nat444 since they gave up on e2e with the stateful inspection. </p>
<p dir="ltr">CB<br>
> ><br>
> > I still wonder why people REALLY believe in the security of NAT (in the<br>
> > sense of blocking inbound connections) in 2014 while most of the botnet<br>
> > members are behind a NAT...<br>
> ><br>
> > Christopher and others => you are RIGHT! Do not change your mind<br>
> ><br>
> > -éric (see also<br>
> > <a href="http://tools.ietf.org/html/draft-ietf-v6ops-balanced-ipv6-security-01">http://tools.ietf.org/html/draft-ietf-v6ops-balanced-ipv6-security-01</a> for<br>
> > my point of view :-))<br>
> ><br>
> ><br>
> > On 13/03/14 18:43, "Jakob Hirsch" <<a href="mailto:jh@plonk.de">jh@plonk.de</a>> wrote:<br>
> ><br>
> >> Hi!<br>
> >><br>
> >> Christopher Palmer, 2013-10-10 03:22:<br>
> >>><br>
> >>> <a href="http://download.microsoft.com/download/A/C/4/AC4484B8-AA16-446F-86F8-BDFC">http://download.microsoft.com/download/A/C/4/AC4484B8-AA16-446F-86F8-BDFC</a><br>
> >>> 498F8732/Xbox%20One%20Technical%20Details.docx<br>
> >><br>
> >> Nice, but why do you absolutely require Teredo even for boxes with<br>
> >> native IPv6? Of course there's the advantage of direct client2client<br>
> >> communication (less latency for clients and less traffic on Teredo<br>
> >> relays), but the box should at least fall back to native IPv6 if Teredo<br>
> >> is not available (quite odd to talk about native IPv6 being a fallback<br>
> >> to Teredo, but anyway).<br>
> >><br>
> >> There's at least one CPE manufacturer (quite prevalent in Europe or at<br>
> >> least in Germany) that filters out Teredo if native IPv6 is available by<br>
> >> default. They added an option to disable this filter, but that's not a<br>
> >> good thing. See<br>
> >> <a href="http://service.avm.de/support/en/skb/FRITZ-Box-7390-int/1439:Cannot-play-o">http://service.avm.de/support/en/skb/FRITZ-Box-7390-int/1439:Cannot-play-o</a><br>
> >> nline-games-with-Xbox-One<br>
> >><br>
> >> In the current state, the XBox One is doing more harm to IPv6 than good.<br>
> >> People encounter problems after having IPv6 activated (there are forum<br>
> >> posts which told people to disable IPv6 to fix this issue) and Network<br>
> >> operators will see less increase in IPv6 traffic (which lowers the<br>
> >> incentive to improve IPv6 support).<br>
> >><br>
> >><br>
> >> Regards<br>
> >> Jakob<br>
> >><br>
> ><br>
><br>
> --<br>
> Marco Sommani<br>
> Via Contessa Matilde 64C<br>
> 56123 Pisa - Italia<br>
> phone: +390500986728<br>
> mobile: +393487981019<br>
> fax: +390503869728<br>
> email: <a href="mailto:marcosommani@gmail.com">marcosommani@gmail.com</a><br>
><br>
><br>
</p>