Sur notre serveur Ubuntu, ipv4 et ipv6 sont activés. Nous avons pris ces mesures jusqu'à présent.
Devons-nous faire des ajustements supplémentaires à ip6tables ?
En supposant que notre serveur est renforcé pour ipv4, devons-nous apporter des modifications supplémentaires spécifiques à ipv6 ?
Vous devriez vous en sortir si vous configurez ip6tables de la même manière que vous configurez iptables. Assurez-vous simplement avec netstat -l que vous n'ayez pas accidentellement des services à écouter sur l'interface IPv6 qui n'écoutent pas sur IPv4 et que vous ayez donc oublié d'inclure dans la configuration de ip6tables.
Si vous êtes préoccupé par les ports ouverts, je vous recommande d'exécuter nmap avec les options habituelles pour IPv4 et de le comparer à un scan nmap IPv6 pour vous assurer qu'ils vous donnent tous deux le résultat souhaité.
Si vous n'avez pas la possibilité d'obtenir une adresse publique, l'IPv6 sera limité aux adresses locales de liaison. Celles-ci sont limitées au lien local et devraient être légèrement plus sûres que les plages IPv4 privées qui peuvent être acheminées au sein des sites. L'équivalent IPv6 est une adresse locale de site, mais elle n'est plus utilisée.
Pare-feu IPv6 avec ip6tables comme vous le feriez pour IPv4 avec iptables . Le site Shorewall peut être configuré pour verrouiller IPv6, ou sa version Shorewall6 peut être utilisée pour construire un pare-feu IPv6. Pour fonctionner correctement, IPv6 a besoin de plusieurs autres types que IPv4. shorewall y shorewall6 active les types minimaux pour les deux lorsqu'elle est utilisée avec les configurations d'exemple. Vous avez la possibilité d'activer des types supplémentaires.
L'IPv6 se configure automatiquement, il est donc important de restreindre l'accès entrant s'il y a un risque qu'une adresse publique vous soit attribuée. Du côté positif, si les extensions de confidentialité sont activées, votre adresse changera toutes les quelques heures, de sorte que votre adresse IPv6 ne sera vulnérable que pendant quelques heures avant d'être remplacée par une autre adresse. Les personnes ayant accès à votre trafic seront toujours en mesure d'identifier votre adresse en tentant de rechercher les ports ouverts. La plage d'adresses IPv6 sur n'importe quel réseau est énorme, et il n'est pas très pratique de rechercher des hôtes sur un réseau.
Ipv6 peut utiliser la configuration automatique SLAAC. Il est également possible d'utiliser DHCPv6 ou des adresses statiques. Lorsque vous utilisez SLAAC et les extensions de confidentialité, vous aurez toujours une adresse basée sur l'adresse MAC générée, mais elle ne sera pas utilisée pour les connexions sortantes, si des personnes tentent une connexion entrante à cette adresse, elle existera.
Oui, il y a plusieurs problèmes dont il faut être conscient.
Vous devez être conscient de la Problème de sécurité RH0 . Bien qu'il ne soit plus nécessaire d'utiliser règles de pare-feu explicites pour atténuer ce problème, étant donné que les noyaux Linux depuis environ 2.6.20.9 (en 2007 !) ignorent toujours ce trafic, vous pouvez rencontrer des systèmes plus anciens où vous devez appliquer les règles du pare-feu.
Si vous avez un certain trafic limité à des hôtes ou sous-réseaux spécifiques, vous devrez écrire des règles de pare-feu IPv6 correspondantes aux adresses IPv6 de ces hôtes ou sous-réseaux.
Vous ne devez pas bloquer l'ICMP sur IPv6 ; étant donné qu'il dépend beaucoup plus de l'ICMP, les connexions risquent d'échouer de manière mystérieuse si vous bloquez l'ICMP de quelque manière que ce soit.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
