7 votes

Ian Robinson avatar

Existe-t-il déjà une configuration recommandée pour le pare-feu IPv6 ?

Demandé el 24 de Mai, 2011
Quand la question a-t-elle été
2002 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'aimerais passer du réseau privé IPv4-subnet-behind-NAT à IPv6, mais je n'ai évidemment pas l'intention d'exposer les postes de travail de mes utilisateurs "sans protection" au réseau.

Quelques points évidents dès le départ :

  • Permettre l'accès aux services fournis
  • Refuser l'accès aux postes de travail

Existe-t-il un guide de configuration de pare-feu recommandé qui parle des détails et des expériences de telles configurations ?

Demandé el 24 de Mai, 2011 par Ian Robinson

Réponses

Trop de publicités?

9voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Les conseils sont en grande partie identiques aux configurations de pare-feu public-IPv4-subnet-behind que nous avons eues dans l'espace .EDU depuis le début de l'Internet commercial. Puisque les premières allocations de sous-réseaux .EDU étaient plutôt généreuses (mon ancien travail a une allocation IPv4 /16, et je connais une autre institution de notre taille qui a un /16 et un autre /18 pour faire bonne mesure), ces institutions ont une grande expérience de la protection des adresses IP publiquement routables derrière des pare-feu. C'est d'ailleurs ce que les créateurs de l'IP avaient en tête à l'origine.

Les principes (de mémoire) :

  • N'autorisez pas l'accès externe aux adresses IP internes, sauf en cas de besoin commercial spécifique (refus par défaut).
  • Autorisez ICMP aux adresses internes car les protocoles IP s'appuient sur lui pour déterminer les conditions du réseau.
    • Les balayages ping devraient être bloqués par votre configuration IPS.
    • N'oubliez pas que ce n'est pas parce qu'une machine peut être connectée qu'elle peut l'être !
  • Les recherches de DNS inversés sont importantes pour certains cas d'utilisation, alors assurez-vous qu'elles fonctionnent correctement.

Une courte liste, je sais. Mais le principe de base des pare-feu, qui remonte à 20 ans, est le même : n'autoriser l'accès qu'aux combinaisons IP:port que vous souhaitez autoriser, refuser tout le reste.

Répondu el 24 de Mai, 2011 par sysadmin1138 (129885 Points )

5voto

the-wabbit avatar
the-wabbit Points 40039

Si vos règles consistaient jusqu'à présent en "uniquement le trafic initié en interne" (NAT) avec quelques exceptions pour les services publiés (redirection de port), vous pouvez vous en tenir à cela et simplement le transférer vers IPv6.

Vous aurez des implications supplémentaires avec les capacités de tunneling et de cryptage qui viennent avec la v6 que vous voudrez aborder, mais en général, tout ce qui s'appliquait à la v4 s'applique toujours à la v6. Lecture recommandée : Construction de pare-feu Internet (Zwicky, Cooper, Chapman).

Répondu el 24 de Mai, 2011 par the-wabbit (40039 Points )

4voto

Mike Pennington avatar
Mike Pennington Points 8236

En plus des réponses fournies ici, vous devriez consulter les documents suivants RFC 4890 qui présente une grande partie des informations que vous devez comprendre sur ICMP6 à travers les pare-feu. Consultez également le site de Google Centre d'information IPv6

Répondu el 27 de Mai, 2011 par Mike Pennington (8236 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X