<div dir="ltr">I don't v6 stats yet but it would be interesting to see. I did a tcpdump on one v6 IP and saw hundreds of requests to port 25.<div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 10, 2019 at 10:43 AM Ca By <<a href="mailto:cb.list6@gmail.com">cb.list6@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 10, 2019 at 7:06 AM Dovid Bender <<a href="mailto:dovid@telecurve.com" target="_blank">dovid@telecurve.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">I think the traffic Amos is referring to is random traffic hitting the devices causing them to "wake up". Everyone here knows a simple dump on port 22 will show traffic. We  have a /22 that gets an avg of 1-2 mbit of random traffic (mainly 22 and 3389).</div></blockquote><div dir="auto"><br></div><div dir="auto">I believe he was talking about ipv6. </div><div dir="auto"><br></div><div dir="auto">Does this backscatter happen in ipv6 given how impractical scanning ipv6 is ?</div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 10, 2019 at 9:49 AM Ca By <<a href="mailto:cb.list6@gmail.com" target="_blank">cb.list6@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 10, 2019 at 6:23 AM Amos Rosenboim <<a href="mailto:amos@oasis-tech.net" target="_blank">amos@oasis-tech.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_2183826661838249413m_-9082774027506625253gmail-m_6136758601621480895m_3121359702253685714WordSection1">
<p class="MsoNormal"><span style="font-size:11pt">Hello NANOG,<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">We are discussing internally and wanted to get more opinions and especially more data on what are people actually doing.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">We are running an ISP network with about 150K fixed broadband users, running dual stack (IPv4 behind CGNAT).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">On the ISP network  IPv6 is simply routed, and is firewalled on the CPE.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">This network added mobile services about a year ago, also dual stack (we have no control on the mobile devices so we were too concerned to choose IPv6 only access).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">We have an ongoing discussion about Gi firewall (adding a firewall between the subscribers and the internet, allowing only subscriber initiated connections), for the IPv6 traffic.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">The firewall is doing very little security, the ruleset is very basic, allowing anything from subscribers to the internet and blocking all traffic from the internet towards the subscribers.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">We have a few rules to limit the number of connections per subscriber (to a relatively high number) and that is it.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">One of the arguments in favor of having the firewall is that unsolicited traffic from the internet can “wake” idle mobile devices, and create signaling (paging) storms as well as drain user batteries.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">On the other hand, allowing only subscriber initiated traffic is mostly achievable using ACLs on the mobile core facing routers, or is it with the growing percentage of UDP traffic ?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">BTW – I don’t mention IPv4 traffic on the mobile network as it’s all behind CGNAT which don’t allow internet initiated connections.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">Anyway, we are very interested to know hear more opinions,  and especially to hear what are other mobile operators do.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">Regards</span></p></div></div><div lang="EN-US"><div class="gmail-m_2183826661838249413m_-9082774027506625253gmail-m_6136758601621480895m_3121359702253685714WordSection1"><p class="MsoNormal"><span style="font-size:11pt"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt">Amos<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> </span></p></div></div></blockquote><div dir="auto"><br></div><div dir="auto">Step outside the theoretical and model your real threats. Attack yourself of pay someone to do a real pentest. </div><div dir="auto"><br></div><div dir="auto">1. Does a hacker know the ipv6 of your subs? How frequently does the sub get a new 128 bit address?</div><div dir="auto"><br></div><div dir="auto">2.  What does the hacker get from a paging storm?  Economic benefit ? Lolz? Has a malicious paging storm ever happened in the real world?  What level of effort would be required to trigger that?  Is that level of effort more or less than it would take to tip over a stateful firewall (session exhaustion, pps attack, alg bugs, vulns in the fw <div><a href="https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/" target="_blank">https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/</a></div>)</div><div dir="auto"><br></div><div dir="auto">3. Assuming the hacker gleans the address of the sub, what ports are open in the real world? What can a hacker connect to and accomplish?</div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_2183826661838249413m_-9082774027506625253gmail-m_6136758601621480895m_3121359702253685714WordSection1"><p class="MsoNormal"><span style="font-size:11pt"><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>

</blockquote></div></div>
</blockquote></div>
</blockquote></div></div>
</blockquote></div>