Ubuntu
Ubuntu 伺服器上的 ipv6 - 我如何保護?
在我們的 Ubuntu 伺服器上,啟用了 ipv4 和 ipv6。到目前為止,我們已經採取了這些步驟。
- 啟用 iptables 和 ip6tables
- 將規則完全從我們的 iptables 複製到 ip6tables
我們是否需要對 ip6tables 進行額外的調整?
假設我們的伺服器針對 ipv4 進行了強化,我們是否需要針對 ipv6 進行額外的更改?
如果您以與設置 iptables 相同的方式設置 ip6tables,則應該沒問題。只要確保
netstat -l
您不會意外地讓服務在 IPv6 介面上偵聽而不在 IPv4 上偵聽,因此忘記包含在 ip6tables 設置中。如果您擔心開放埠,我建議您使用 IPv4 的正常選項執行 nmap,並將其與 IPv6 nmap 掃描進行比較,並確保它們都能為您提供所需的結果。
如果您無法獲取公共地址,IPv6 將被限制為連結本地地址。這些僅限於本地連結,並且應該比可以在站點內路由的私有 IPv4 範圍更安全。IPv6 等效項是站點本地地址,但已棄用。
防火牆 IPv6 與
ip6tables
,就像您將 IPv4 與iptables
. Shorewall防火牆工具可配置為鎖定 IPv6,或者其 Shorewall6 版本可用於建構 IPv6 防火牆。IPv6 需要比 IPv4 更多的類型才能正常工作。shorewall
並shorewall6
在與範例配置一起使用時為兩者啟用最小類型。您可以選擇啟用其他類型。IPv6 會進行自動配置,因此如果存在分配公共地址的風險,限制傳入訪問非常重要。從好的方面來說,如果啟用了隱私擴展,您的地址將每隔幾個小時更改一次,因此您的 IPv6 地址只會在幾個小時內易受攻擊,然後才會被其他地址替換。有權訪問您的流量的人仍然能夠辨識您的地址嘗試掃描開放埠。任何網路上的 IPv6 地址範圍都是巨大的,掃描網路中的主機不是很實用。