Ubuntu

Ubuntu 伺服器上的 ipv6 - 我如何保護?

  • May 4, 2014

在我們的 Ubuntu 伺服器上,啟用了 ipv4 和 ipv6。到目前為止,我們已經採取了這些步驟。

  • 啟用 iptables 和 ip6tables
  • 將規則完全從我們的 iptables 複製到 ip6tables

我們是否需要對 ip6tables 進行額外的調整?

假設我們的伺服器針對 ipv4 進行了強化,我們是否需要針對 ipv6 進行額外的更改?

如果您以與設置 iptables 相同的方式設置 ip6tables,則應該沒問題。只要確保netstat -l您不會意外地讓服務在 IPv6 介面上偵聽而不在 IPv4 上偵聽,因此忘記包含在 ip6tables 設置中。

如果您擔心開放埠,我建議您使用 IPv4 的正常選項執行 nmap,並將其與 IPv6 nmap 掃描進行比較,並確保它們都能為您提供所需的結果。

如果您無法獲取公共地址,IPv6 將被限制為連結本地地址。這些僅限於本地連結,並且應該比可以在站點內路由的私有 IPv4 範圍更安全。IPv6 等效項是站點本地地址,但已棄用。

防火牆 IPv6 與ip6tables,就像您將 IPv4 與iptables. Shorewall防火牆工具可配置為鎖定 IPv6,或者其 Shorewall6 版本可用於建構 IPv6 防火牆。IPv6 需要比 IPv4 更多的類型才能正常工作。 shorewallshorewall6在與範例配置一起使用時為兩者啟用最小類型。您可以選擇啟用其他類型。

IPv6 會進行自動配置,因此如果存在分配公共地址的風險,限制傳入訪問非常重要。從好的方面來說,如果啟用了隱私擴展,您的地址將每隔幾個小時更改一次,因此您的 IPv6 地址只會在幾個小時內易受攻擊,然後才會被其他地址替換。有權訪問您的流量的人仍然能夠辨識您的地址嘗試掃描開放埠。任何網路上的 IPv6 地址範圍都是巨大的,掃描網路中的主機不是很實用。

引用自:https://serverfault.com/questions/531334