IPv4, IPv6 e firewall

Naviga le tue risposte
2

Diciamo che ho un server con alcune versioni di Linux e fornisco a questo server un indirizzo IPv4 di 10.1.1.1

Ora utilizzo il mio firewall di rete I NAT questo IP a qualche indirizzo IP pubblico e blocco tutto il traffico in entrata verso tale IP eccetto le porte 80 e 443.

Inoltre ho un firewall iptables sul server che blocca anche tutte le connessioni in entrata eccetto le porte 80 e 443 ed eseguo un server web su quella macchina. Inoltre permetto le connessioni dalla rete locale a 22 e dirò 3306 (mysqld).

Ora tutto ciò si basa su IPv4. Tuttavia, per impostazione predefinita, quando creo un'interfaccia di rete, il server fornirà anche un indirizzo IPv6 (a me francamente criptico).

La mia domanda è che quanto sopra ora presenti un rischio per la sicurezza? Cioè ho un intero gigante perché IPv6 è in esecuzione, ha un indirizzo e non viene filtrato affatto?

Poiché non vedo alcun motivo per utilizzare effettivamente IPv6, la mia tendenza sarebbe semplicemente quella di disabilitare il protocollo (e quindi anche di alleggerirmi dell'onere di dover fare qualcosa sulla mia ignoranza, almeno per ora .. .). Ma è necessario? Scoraggiato?

    
posta IamNaN 11.01.2018 - 13:18
fonte

2 risposte

1

Sono completamente d'accordo con i concetti generali nella risposta di Schroeder. Tuttavia, vorrei rispondere in particolare a IPv6.

L'indirizzo IPv6, quando delegato da un ISP, è globalmente instradabile. Ciò significa che qualsiasi altro host sull'internet IPv6 può raggiungere qualsiasi altro indirizzo IPv6, a meno che non vi sia un firewall nel modo in cui (molti router di consumatori verranno rilasciati o rifiutati per impostazione predefinita). Questo è in qualche modo analogo ad avere un indirizzo IPv4 pubblico, e potrebbe aprire il tuo host (s) per essere scansionato, sondato, attaccato e soggetto a un sacco di tipico rumore di Internet indesiderato. Detto questo, lo spazio degli indirizzi IPv6 è incomprensibilmente più grande di quello di IPv4, quindi non è probabile che i sistemi vengano rilevati in scansioni casuali. Tuttavia, potrebbe ancora essere scoperto e utilizzato e qualsiasi servizio di ascolto su IPv6 potrebbe essere esaminato o attaccato.

In breve, se un utente malintenzionato conosce o scopre i tuoi indirizzi IPv6 e il tuo computer esegue servizi che ascoltano IPv6, vulnerabilità o errate configurazioni in questi servizi potrebbero essere sfruttate per compromettere l'host.

Per proteggersi da questa minaccia, puoi disabilitare completamente IPv6 nel kernel o impostare le regole del firewall. Proprio come con iptables , usa ip6tables per IPv6. Molte delle tue regole esistenti possono essere trasferite con modifiche minime. Ovviamente, se si sceglie di esporre i servizi tramite il firewall, tali servizi potrebbero comunque essere attaccati.

    
risposta data 12.01.2018 - 03:58
fonte
4

IPv6 a parte, hai chiesto: "Ho un protocollo inutilizzato abilitato e attivo sul mio sistema senza controlli tecnici intorno. La situazione pone un rischio per la sicurezza?" La risposta è molto breve: sì.

È un "buco gigante"? No, ma un buco. È un rischio? Può essere. Ma il fatto che non puoi quantificare il rischio significa che dovresti spegnerlo finché puoi.

Ci saranno potenziali problemi di usabilità inattesi? Può essere. Ma questa non è una domanda di sicurezza.

    
risposta data 11.01.2018 - 14:09
fonte

Leggi altre domande sui tag

È sicuro pubblicare l'output dei comandi di Linux dig (DNS)? Qual è lo stato di SELinux e ci sono alternative?