Ubuntu 服务器上的 ipv6 - 如何确保安全?

Ubuntu 服务器上的 ipv6 - 如何确保安全?

在我们的 Ubuntu 服务器上,ipv4 和 ipv6 已启用。到目前为止,我们已经采取了这些步骤。

  • 启用 iptables 和 ip6tables
  • 将规则从 iptables 精确复制到 ip6tables

我们需要对 ip6tables 进行额外的调整吗?
假设我们的服务器针对 ipv4 进行了强化,我们是否需要针对 ipv6 进行额外的更改?

答案1

如果您以与设置 iptables 相同的方式设置 ip6tables,则应该没有问题。只需确保netstat -l您不会意外地让服务在 IPv6 接口上侦听而不侦听 IPv4,因此忘记将其包含在 ip6tables 设置中。

如果您担心开放端口,我建议您使用 IPv4 的常规选项运行 nmap,并将其与 IPv6 nmap 扫描进行比较,确保它们都为您提供所需的结果。

答案2

如果您无法获取公共地址,IPv6 将被限制为链接本地地址。这些地址仅限于本地链接,并且应该比可在站点内路由的私有 IPv4 范围稍微安全一些。IPv6 等效地址是站点本地地址,但这些地址已被弃用。

防火墙 IPv6 ip6tables,就像 IPv4 一样iptables岸墙防火墙工具可以配置为锁定 IPv6,或者可以使用其 Shorewall6 版本构建 IPv6 防火墙。IPv6 需要比 IPv4 多几种类型才能正常工作。 shorewallshorewall6在与示例配置一起使用时启用两者的最小类型。您可以选择启用其他类型。

IPv6 会自动配置,因此如果存在分配公共地址的风险,则限制传入访问非常重要。从好的方面来看,如果启用了隐私扩展,您的地址将每隔几个小时更改一次,因此您的 IPv6 地址只会在几个小时内处于危险之中,之后就会被其他地址替换。有权访问您的流量的人仍然能够识别您的地址并尝试扫描开放端口。任何网络上的 IPv6 地址范围都很大,扫描网络以查找主机并不实用。

答案3

是的,有几个问题需要注意。

  • 你需要知道RH0 安全问题. 虽然不再需要使用明确的防火墙规则为了缓解这种情况,因为自 2.6.20.9(2007 年!)以来的 Linux 内核始终忽略这种流量,您可能会遇到需要应用防火墙规则的旧系统。

  • 如果您将某些流量限制到特定主机或子网,则必须编写与这些主机或子网的 IPv6 地址相对应的相应 IPv6 防火墙规则。

  • 您不应该在 IPv6 上阻止 ICMP;由于它对 ICMP 的依赖程度更高,如果您进行任何类型的 ICMP 阻止,连接都可能会以神秘的方式失败。

相关内容