web-dev-qa-db-ja.com

Ubuntuサーバー上のipv6-どうすれば保護できますか?

Ubuntuサーバーでは、ipv4とipv6が有効になっています。これまでにこれらの手順を実行しました。

  • 有効なiptablesとip6tables
  • ルールをiptablesからip6tablesに正確にコピーしました

Ip6tablesに追加の調整を加える必要がありますか?
サーバーがipv4用に強化されていると仮定すると、ipv6に固有の追加の変更を加える必要がありますか?

ubuntuiptablesipv6ipv4hardening
1
csi

Iptablesをセットアップするのと同じ方法でip6tablesをセットアップすれば、問題はないはずです。 netstat -lを使用して、IPv4でリッスンしないサービスがIPv6インターフェイスで誤ってリッスンすることがないようにしてください。そのため、ip6tablesセットアップに含めるのを忘れてしまいます。

ポートが開いていることが心配な場合は、IPv4の通常のオプションを使用してnmapを実行し、それをIPv6 nmapスキャンと比較して、両方で目的の結果が得られることを確認することをお勧めします。

3
Christoph Eicke

パブリックアドレスを取得する方法がない場合、IPv6はローカルアドレスをリンクするように制限されます。これらはローカルリンクに制限されており、サイト内でルーティングできるプライベートIPv4範囲よりもわずかに安全である必要があります。 IPv6に相当するものはサイトのローカルアドレスですが、これらは非推奨です。

iptablesを使用したIPv4と同じように、ip6tablesを使用してIPv6をファイアウォールで保護します。 Shorewall ファイアウォールツールは、IPv6をロックダウンするように構成できます。または、Shorewall6バージョンを使用してIPv6ファイアウォールを構築できます。 IPv6が正しく機能するには、IPv4よりもいくつかのタイプが必要です。 shorewallおよびshorewall6は、構成例で使用する場合、両方の最小タイプを有効にします。追加のタイプを有効にするオプションがあります。

IPv6は自動構成を行うため、パブリックアドレスが割り当てられるリスクがある場合は、着信アクセスを制限することが重要です。プラス面として、プライバシー拡張機能が有効になっている場合、アドレスは数時間ごとに変更されるため、IPv6アドレスは、別のアドレスに置き換えられるまでの数時間だけ脆弱になります。あなたのトラフィックにアクセスできる人々は、開いているポートをスキャンしようとしているあなたのアドレスを識別できます。どのネットワークでもIPv6アドレスの範囲は非常に広く、ネットワークをスキャンしてホストを探すのはあまり実用的ではありません。

1
BillThor

はい、注意すべきいくつかの問題があります。

  • RH0セキュリティの問題 に注意する必要があります。これを軽減するために 明示的なファイアウォールルール を使用する必要はなくなりましたが、約2.6.20.9(2007年)以降のLinuxカーネルは常にこのトラフィックを無視するため、適用する必要がある古いシステムに遭遇する可能性がありますファイアウォールルール。

  • 特定のトラフィックが特定のホストまたはサブネットに制限されている場合は、それらのホストまたはサブネットのIPv6アドレスに対応する対応するIPv6ファイアウォールルールを作成する必要があります。

  • IPv6でICMPをブロックしないでください。 ICMPに大きく依存しているため、何らかのICMPブロッキングを実行すると、接続が不思議な方法で失敗する可能性があります。

1
Michael Hampton