Je viens de découvrir récemment que même si je bloque tout le trafic vers mon serveur Web en utilisant iptables, il reste vulnérable aux attaques externes via IPv6. À ma connaissance, cela rend le pare-feu iptables inutile (ou ai-je tort?)... Cela étant dit, quelles mesures de sécurité devrais-je prendre en compte pour protéger un serveur Web contre les attaques menées via IPv6 ?
Réponse
Trop de publicités?
Deux options de base :
- Désactiver ipv6
- Créer une configuration de pare-feu pour ipv6 en utilisant
ip6tables.
Un guide de base pour désactiver ipv6 se trouve ici, bien que je parie qu'un rmmod ipv6 fera l'affaire.
Vous pourriez utiliser tous les scripts iptables existants que vous avez comme base pour un script "ip6tables". Ce qui suit devrait dire à ip6tables de verrouiller tout ipv6 (rien à l'entrée, à la sortie ou routé) :
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
