4.5. Considerazioni sulla sicurezza

È considerata una best practice filtrare il traffico ovviamente malevolo (ad es., pacchetti spoofed, indirizzi "Martian", ecc.). Pertanto, il router IPv6 CE dovrebbe supportare filtri stateless di base in uscita e in ingresso. Si prevede anche che il router CE offra meccanismi per filtrare il traffico che entra nella rete del cliente; tuttavia, il metodo mediante il quale i fornitori implementano il filtraggio configurabile dei pacchetti è al di fuori dell'ambito di questo documento.

Requisiti di sicurezza

S-1: Il router IPv6 CE DOVREBBE supportare [RFC6092]. In particolare, il router IPv6 CE DOVREBBE supportare funzionalità sufficienti per implementare l'insieme di raccomandazioni in [RFC6092], Sezione 4. Questo documento non prende posizione sul fatto che tale funzionalità sia abilitata per impostazione predefinita o sui meccanismi mediante i quali gli utenti la configurerebbero.

S-2: Il router IPv6 CE DOVREBBE supportare il filtraggio in ingresso in conformità con BCP 38 [RFC2827]. Si noti che questo requisito è stato declassato da un DEVE dall'RFC 6204 a causa della difficoltà di implementazione nel router CE e della ridondanza della funzionalità con il filtraggio in ingresso del router upstream.

S-3: Se il firewall del router IPv6 CE è configurato per filtrare i dati tunneled in arrivo, il firewall DOVREBBE fornire la capacità di filtrare i pacchetti decapsulati da un tunnel.