04.05.2012

Обновился документ (черновик) IETF «Security Implications of IPv6 on IPv4 networks«, вот основные пункты (краткий перевод):
Большинство современных ОС поддерживают IPv6, и даже если в вашей сети не используется этот протокол, то само наличие link-local адреса может быть на руку злоумышленнику. Например, получив управление daual-stacked роутером, злоумышленник может получить доступ и к вашей машине по IPv6. Вообще-то к IPv6 должны предьявляться те же требования по безопасности, что и к IPv4.
Фильтрацию IPv6-трафика на управляемых коммутаторах можно осуществить блокировки фреймов с типом протокола 0x86dd.
SLAAC-атаки можно предотвратить использованием RA-guard.
Можно и вообще запретить работу IPv6 на устройствах.
6in4 можно блокировать по типу протокола 41.
6over4 (используется редко) можно также отфильтровать по типу протокола 41. Более тонко можно настроить, используя кроме типа протокола критерий «и адрес получателя принадлежит к 239.0.0.0/8».
6rd можно блокировать по типу протокола 41.
6to4 можно блокировать по типу протокола 41. Для более тонкой фильрации можно добавить критерии:
— «и исходящие пакеты идут к 192.88.99.0/24»
— «и входящие пакеты идут к 192.88.99.0/24»
(можно заменить подсеть на конкретный адрес)
Если нужно отфильтровать 6to4 трафик, но оставить другой туннельный трафик, то можно использовать критерий «протокол=41 и адрес источника 2002::/16» — для исходящего трафика, аналогично для входящего.
Teredo можно отфильтровать по исходящему трафику на UDP:3544

 


  *** Via IPv4 ***