ipv6 segurança na rede interna

0

Estou apenas começando minha incursão no IPv6.

Primeiro, minhas informações de referência:

  • Modem a cabo ISP da Comcast
  • Linux firewall / roteador / máquina de gateway
    • eth1 aponta para a Internet com um endereço IPv6 / 128 fornecido pela Comcast
    • eth0 aponta para minha rede interna com uma rede IPv6 / 64 fornecida pela Comcast
  • Máquinas internas do Linux

Até agora, minha segurança nas máquinas internas foi baseada principalmente no uso de endereços RFC1918 e iptables NAT. IPv6 (aparentemente) não suporta NAT.

Então, espero que alguém tenha um tutorial simples sobre como eu posso configurar o ip6tables no meu linux-firewall-roteador para garantir que eu tenha muito acesso de saída, mas

  • apenas conexões estabelecidas vêm em
  • apenas as conexões ICMPv6 necessárias podem entrar, mas nenhuma desnecessária
  • talvez algum tipo de maneira knockd -esque me permitir que mais ninguém acesse máquinas internas da Internet
    • Acho que a resposta para essa pergunta é "Certificados SSH e proibir todos os logins de senha"

Infelizmente, até onde eu sei, o Amazon EC2 não faz IPv6. Caso contrário, isso seria uma ótima maneira de testar minha configuração.

    
por hymie 12.07.2017 / 14:04

1 resposta

1

IPv6 (apparently) does not support NAT.

O pessoal da norma desestimula strongmente a NAT IPv6, mas isso não impede que as pessoas a implementem. Não há diferença fundamental que torne o IPv6 NAT mais fácil ou mais difícil que o NAT IPv4. O assunto do IPv6 NAT no Linux foi um contraversial, mas acabou sendo implementado no Linux 3.7.

ip6tables é a contraparte do ipv6 para o iptables. A configuração de um firewall básico que permite tudo o que sai, mas permite apenas entradas específicas e não restringe o acesso à caixa do firewall, é muito simples.

  1. Defina a diretiva de encadeamentos diretos para que ela seja descartada (sempre recomendo que a diretiva de cadeia seja definida para que, ao liberar e redefinir as regras, você não fique totalmente aberto)
  2. Adicione uma regra na tabela de encaminhamento para permitir que os pacotes de dentro para fora.
  3. Adicione uma regra na tabela de encaminhamento para permitir pacotes com estados de rastreamento de conexão "estabelecidos" e "relacionados". Isso permite respostas relacionadas às suas conexões de saída sem abri-lo à Internet em geral.
  4. Adicione regras para qualquer coisa que você queira permitir.

Se você quiser restringir o acesso à própria caixa do firewall, a vida fica um pouco mais complicada, porque você tem que ter certeza de permitir coisas como o SLACC. Existem alguns exemplos no link

Se você estiver tentando limitar o tráfego de / para o próprio roteador (em vez de apenas limitar o tráfego encaminhado), será necessário permitir a descoberta de vizinhos e anúncios vizinhos.

Acredito que você precisa (tirado de link )

ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT
    
por 12.07.2017 / 14:34