イントラネットIPv6セキュリティ

イントラネットIPv6セキュリティ

これでIPv6に入門し始めました。

まず、私の参考情報は次のとおりです。

  • Comcast ISPケーブルモデム
  • Linuxファイアウォール/ルーター/ゲートウェイマシン
    • eth1は、Comcastが提供するIPv6 / 128アドレスを使用してインターネットを指します。
    • eth0は、Comcastが提供するIPv6/64ネットワークを使用して内部ネットワークを指します。
  • 内部Linuxマシン

これまで、内部コンピュータのセキュリティは、主にRFC1918アドレスとiptablesNATの使用に基づいていました。 IPv6は(明らかに)NATをサポートしません.

ip6tablesしたがって、誰かが私のlinux-firewall-routerでそれを設定して、私が出てくるアクセスを十分に確保できるようにする簡単なチュートリアルを提供してほしい。

  • 設定された接続のみが入力されます。
  • 必要なICMPv6接続のみを許可し、不要な接続は許可しません。
  • knockdおそらく私だけを許可し、他の誰もインターネットから内部システムにアクセスできないようにする同様の方法があります。
    • この質問に対する答えは、「SSH証明書とすべてのパスワードログインを無効にする」と思います。

残念ながら、私が知っている限り、Amazon EC2はIPv6をサポートしていません。そうでなければ、これは私の設定をテストする良い方法です。

答え1

IPv6は(明らかに)NATをサポートしません.

標準制定者はIPv6 NATに強く反対しますが、これは人々がIPv6 NATを実装するのを妨げません。 IPv6 NAT を IPv4 NAT より簡単または難しくする根本的な違いはありません。 Linux では、IPv6 NAT に関するトピックは議論の余地がありましたが、Linux 3.7 でついに実装されました。

ip6tablesはiptablesのipv6バージョンです。デフォルトのファイアウォールは設定が非常に簡単です。すべてを許可し、特定のコンテンツのみを許可し、ファイアウォール自体へのアクセスを制限しません。

  1. 順方向チェーンポリシーを破棄するように設定します。 (ルールを更新してリセットするときは、自分を開いたままにしないように常にチェーンポリシーを破棄するように設定することをお勧めします。)
  2. 内部から外部へのパケットを許可するために転送テーブルにルールを追加します。
  3. 「設定済み」および「接続済み」接続追跡状態のパケットを許可するルールを転送テーブルに追加します。これにより、通常のインターネットに接続することなく発信接続に関連する応答を行うことができます。
  4. 許可するアイテムのルールを追加します。

SLACCなどが許可されていることを確認する必要があるため、ファイアウォールボックス自体へのアクセスを制限したい場合は、状況が少し難しくなります。にはいくつかの例があります。https://www.sixxs.net/wiki/IPv6_Firewalling

転送されるトラフィックを制限するのではなく、ルータ自体からの着信および発信トラフィックを制限したい場合は、ネイバー検索とネイバー広告を許可する必要があります。

私はあなたに必要なものが次のようになると思います(出典:https://www.cert.org/downloads/IPv6/ip6tables_rules.txt)

ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT

関連情報