ipv6 no servidor Ubuntu - como posso proteger?

1

No nosso servidor Ubuntu, ipv4 & ipv6 estão habilitados. Nós tomamos estes passos até agora.

  • Ativado iptables & ip6tables
  • Copiei as regras exatamente do nosso iptables para ip6tables

Precisamos fazer ajustes adicionais no ip6tables?
Assumindo que nosso servidor está endurecido para o ipv4, precisamos fazer mudanças adicionais específicas para o ipv6?

    
por csi 15.08.2013 / 21:38

3 respostas

3

Você deve estar bem se você configurar o ip6tables da mesma forma que configura o iptables. Apenas certifique-se com netstat -l de que você não tem, acidentalmente, serviços escutando na interface IPv6 que não escutam no IPv4 e, portanto, se esqueceram de incluir na configuração do ip6tables.

Se você está preocupado com portas abertas, eu recomendo que você execute o nmap com as opções regulares para IPv4 e compare isso com uma varredura IPv6 nmap e certifique-se de que ambas forneçam o resultado desejado.

    
por 15.08.2013 / 21:57
1

Se você não tiver uma maneira de obter um endereço público, o IPv6 ficará restrito para vincular endereços locais. Eles são restritos ao link local e devem ser um pouco mais seguros do que os intervalos IPv4 privados que podem ser roteados nos sites. O equivalente ao IPv6 é um endereço local do site, mas estes são obsoletos.

Firewall IPv6 com ip6tables , assim como você faria com IPv4 com iptables . A ferramenta de firewall Shorewall pode ser configurada para bloquear o IPv6, ou sua versão Shorewall6 pode ser usada para criar um firewall IPv6. O IPv6 requer vários outros tipos além do IPv4 para funcionar corretamente. shorewall e shorewall6 ativam os tipos mínimos para ambos quando usados com as configurações de exemplo. Você tem a opção de ativar tipos adicionais.

O IPv6 faz configuração automática, portanto, é importante restringir o acesso de entrada se houver um risco de que você receba um endereço público atribuído. No lado positivo, se as extensões de privacidade estiverem ativadas, seu endereço será alterado a cada poucas horas, portanto, seu endereço IPv6 ficará vulnerável apenas por algumas horas antes de ser substituído por um endereço diferente. As pessoas com acesso ao seu tráfego ainda conseguiriam identificar sua tentativa de endereço para procurar portas abertas. A faixa de endereços IPv6 em qualquer rede é enorme, e não é muito prático verificar uma rede em busca de hosts.

    
por 16.08.2013 / 02:35
1

Sim, existem vários problemas a ter em conta.

  • Você precisa estar ciente do problema de segurança do RH0 . Embora não seja mais necessário usar regras de firewall explícitas para atenuar isso, como os kernels do Linux desde 2.6.20.9 (em 2007! ) sempre ignorar esse tráfego, você pode se deparar com sistemas mais antigos, onde você precisa aplicar as regras de firewall.

  • Se você tiver determinado tráfego limitado a hosts ou sub-redes específicos, será necessário escrever regras de firewall IPv6 correspondentes aos endereços IPv6 desses hosts ou sub-redes.

  • Você não deve bloquear o ICMP no IPv6; como é muito mais dependente do ICMP, as conexões provavelmente falharão de maneira misteriosa se você fizer algum tipo de bloqueio de ICMP.

por 16.08.2013 / 11:02