ipv6 на сервере Ubuntu - как мне защитить?
На нашем сервере Ubuntu ipv4 и ipv6 включены. Мы уже предприняли эти шаги.
- Включены iptables & ip6tables
- Точно скопировал правила из наших iptables в ip6tables
Нужно ли вносить дополнительные изменения в ip6tables?
Предполагая, что наш сервер защищен для ipv4, нужно ли вносить дополнительные изменения, специфичные для ipv6?
3 ответа
Все будет в порядке, если вы настраиваете ip6tables так же, как вы настраиваете iptables. Просто убедитесь, что с netstat -l что у вас случайно нет служб, прослушивающих интерфейс IPv6, которые не прослушивают IPv4 и поэтому забыли включить их в настройку ip6tables.
Если вы беспокоитесь об открытых портах, я бы порекомендовал вам запустить nmap с обычными опциями для IPv4, сравнить его со сканированием nmap IPv6 и убедиться, что они оба дают желаемый результат.
Да, есть несколько вопросов, о которых нужно знать.
Вы должны знать о проблеме безопасности RH0. Хотя больше нет необходимости использовать явные правила брандмауэра, чтобы смягчить это, поскольку ядра Linux начиная с версии 2.6.20.9 (в 2007 году!) Всегда игнорируют этот трафик, вы можете столкнуться с более старыми системами, где вам нужно применять правила брандмауэра.
Если у вас есть определенный трафик, ограниченный определенными хостами или подсетями, вам придется написать соответствующие правила брандмауэра IPv6, соответствующие адресам IPv6 этих хостов или подсетей.
Вы не должны блокировать ICMP на IPv6; поскольку он в гораздо большей степени зависит от ICMP, соединения, скорее всего, будут прерываться таинственными способами, если вы делаете какую-либо блокировку ICMP.
Если у вас нет способа получить публичный адрес, IPv6 будет ограничен связыванием локальных адресов. Они ограничены локальной связью и должны быть немного более безопасными, чем частные диапазоны IPv4, которые можно маршрутизировать внутри сайтов. Эквивалент IPv6 - это локальный адрес сайта, но он устарел.
Брандмауэр IPv6 с ip6tablesтак же, как вы бы IPv4 с iptables, Средство межсетевого экрана Shorewall можно настроить для блокировки IPv6 или его версию Shorewall6 можно использовать для создания межсетевого экрана IPv6. Для правильной работы IPv6 требуется несколько больше типов, чем для IPv4. shorewall а также shorewall6 включает минимальные типы для обоих при использовании с примерами конфигураций. У вас есть возможность включить дополнительные типы.
IPv6 выполняет автоматическую настройку, поэтому важно ограничить входящий доступ, если есть риск, что вам может быть назначен публичный адрес. С другой стороны, если расширения конфиденциальности включены, ваш адрес будет меняться каждые несколько часов, поэтому ваш IPv6-адрес будет уязвим только в течение нескольких часов, прежде чем он будет заменен другим адресом. Люди, имеющие доступ к вашему трафику, все равно смогут определить ваш адрес при попытке поиска открытых портов. Диапазон адресов IPv6 в любой сети огромен, и не очень удобно сканировать сеть на наличие хостов.