На нашем сервере Ubuntu включены ipv4 и ipv6. До сих пор мы эти шаги предприняли.
Нужно ли вносить дополнительные корректировки в ip6tables?
Предполагая, что наш сервер защищен для ipv4, нужно ли нам вносить дополнительные изменения, специфичные для ipv6?
Все будет в порядке, если вы настроите ip6tables так же, как и iptables. Просто убедитесь с netstat -l
что у вас случайно нет служб, прослушивающих интерфейс IPv6, которые не прослушивают IPv4 и поэтому забыли включить их в настройку ip6tables.
Если вас беспокоят открытые порты, я бы порекомендовал вам запустить nmap с обычными опциями для IPv4 и сравнить это с сканированием nmap IPv6 и убедиться, что оба они дают желаемый результат.
Да, есть несколько проблем, о которых следует знать.
Вы должны знать о Проблема безопасности RH0. Пока больше не нужно использовать явные правила брандмауэра чтобы смягчить это, поскольку ядра Linux примерно начиная с версии 2.6.20.9 (в 2007 году!) всегда игнорируют этот трафик, вы можете столкнуться с более старыми системами, где вам нужно применить правила брандмауэра.
Если у вас есть определенный трафик, ограниченный определенными хостами или подсетями, вам придется написать соответствующие правила брандмауэра IPv6, соответствующие IPv6-адресам этих хостов или подсетей.
Вы не должны блокировать ICMP на IPv6; поскольку он в большей степени зависит от ICMP, соединения могут прерываться таинственным образом, если вы выполните какую-либо блокировку ICMP.
Если у вас нет возможности получить общедоступный адрес, IPv6 будет ограничен связыванием локальных адресов. Они ограничены локальной ссылкой и должны быть немного более безопасными, чем частные диапазоны IPv4, которые могут маршрутизироваться внутри сайтов. Эквивалент IPv6 - это локальный адрес сайта, но он устарел.
Межсетевой экран IPv6 с ip6tables
, как если бы вы использовали IPv4 с iptables
. В Shorewall Инструмент межсетевого экрана может быть настроен для блокировки IPv6, или его версия Shorewall6 может использоваться для создания межсетевого экрана IPv6. IPv6 требует для правильной работы на несколько типов больше, чем IPv4. shorewall
и shorewall6
включает минимальные типы для обоих при использовании с примерами конфигураций. У вас есть возможность включить дополнительные типы.
IPv6 выполняет автоматическую настройку, поэтому важно ограничить входящий доступ, если есть риск того, что вам может быть назначен общедоступный адрес. С другой стороны, если расширения конфиденциальности включены, ваш адрес будет меняться каждые несколько часов, поэтому ваш IPv6-адрес будет уязвимым только в течение нескольких часов, прежде чем он будет заменен другим адресом. Люди, имеющие доступ к вашему трафику, по-прежнему смогут идентифицировать попытку вашего адреса для поиска открытых портов. Диапазон адресов IPv6 в любой сети огромен, и сканировать сеть на предмет узлов не очень практично.