Já existe uma configuração de Firewall IPv6 recomendada?

6

Gostaria de mudar de IPv4-subnet-behind-NAT para IPv6, mas é claro que não tenho intenção de expor as estações de trabalho de meus usuários "desprotegidas" à rede.

Alguns pontos óbvios iniciais:

  • Permitir acesso aos serviços fornecidos
  • Negar acesso a estações de trabalho

Existe uma diretriz de configuração de firewall recomendada que fala sobre os detalhes e experiências com tais configurações?

    
por David Schmitt 24.05.2011 / 18:02

3 respostas

8

O conselho é praticamente inalterado em relação às configurações de IPv4-sub-rede por trás do Firewall que tivemos no espaço .EDU desde o início da Internet comercial. Desde cedo, as alocações de sub-rede da UDE foram bastante generosas (meu antigo trabalho tem uma alocação de IPv4 / 16 e conheço outra instituição do tamanho de uma / 16 e outra / 18 para uma boa medida) essas instituições têm profunda experiência em proteger IP roteavel publicamente Endereços por trás de firewalls. Heck, essa configuração foi o que os criadores de IP originais tinham em mente.

Os princípios (da memória):

  • Não permitir acesso externo a endereços IP internos, a menos que haja uma necessidade comercial específica (negação padrão).
  • Permitir ICMP para endereços internos, pois os protocolos IP dependem dele para determinar as condições da rede.
    • As varreduras de ping devem ser bloqueadas pela sua configuração de IPS.
    • Lembre-se de que só porque uma máquina pode ser conectada, isso não significa que ela possa ser conectada!
  • As pesquisas reversas de DNS são importantes para alguns casos de uso, por isso, certifique-se de que estão funcionando corretamente.

Uma pequena lista, eu sei. Mas o princípio básico do firewall, que remonta a 20 anos, é o mesmo: permitir o acesso apenas àquelas combinações de IP: porta que você deseja permitir, negar todo o resto.

    
por 24.05.2011 / 18:24
4

Se as suas regras até agora consistiam em "somente tráfego iniciado internamente" (NAT), com algumas exceções para serviços publicados (encaminhamento de porta), você pode se ater a isso e simplesmente transferi-lo para o IPv6.

Você terá implicações adicionais com os recursos de encapsulamento e criptografia que acompanham a v6 que você deseja resolver, mas, em geral, tudo o que se aplica à v4 ainda se aplica à v6. Leitura recomendada: Construindo Firewalls da Internet (Zwicky, Cooper, Chapman).

    
por 24.05.2011 / 18:29
4

Além das respostas aqui, você deve conferir RFC 4890 que descreve um Muitas das informações que você precisa entender sobre o ICMP6 através de firewalls. Veja também o Centro de Informações sobre IPv6

do Google     
por 27.05.2011 / 01:41