IPv4, IPv6 y firewall

2

Digamos que tengo un servidor que ejecuta alguna versión de Linux y le doy a este servidor una dirección IPv4 de 10.1.1.1

Ahora estoy usando mi firewall de red, NAT esta IP a alguna dirección IP pública y bloqueo todo el tráfico entrante a esa IP excepto los puertos 80 y 443.

Además, tengo un servidor de seguridad iptables en el servidor que también bloquea todas las conexiones entrantes excepto los puertos 80 y 443 y ejecuto un servidor web en esa máquina. Además, permito conexiones desde la red local a 22 y digo 3306 (mysqld).

Ahora todo esto está basado en IPv4. Sin embargo, de forma predeterminada, cuando creo una interfaz de red, el servidor también le dará una dirección IPv6 (para mí francamente críptica).

Mi pregunta es: ¿lo anterior ahora presenta un riesgo de seguridad? Es decir. ¿Tengo un entero gigante porque IPv6 se está ejecutando, tiene una dirección y no está del todo filtrado?

Como no veo ninguna razón para usar realmente IPv6 aquí, mi tendencia sería simplemente deshabilitar el protocolo (y, por lo tanto, también aliviarme de la carga de tener que hacer algo por mi ignorancia, al menos por ahora ... .). ¿Pero es esto necesario? Desanimado?

    
pregunta IamNaN 11.01.2018 - 13:18
fuente

2 respuestas

1

Estoy completamente de acuerdo con los conceptos generales en la respuesta de schroeder. Sin embargo, me gustaría responder específicamente a IPv6.

La dirección IPv6, cuando está delegada por un ISP, es enrutable globalmente. Esto significa que cualquier otro host en Internet IPv6 puede acceder a cualquier otra dirección IPv6, a menos que haya un firewall en la forma (muchos enrutadores de consumidores se eliminarán o rechazarán de manera predeterminada). Esto es algo similar a tener una dirección IPv4 pública, y podría abrir su (s) host (es) para ser escaneados, sondeados, atacados y sujetos a una gran cantidad de ruido típico de Internet no deseado. Dicho esto, el espacio de direcciones IPv6 es incomprensible más grande que el de IPv4, por lo que no es probable que sus sistemas se detecten en exploraciones aleatorias. Sin embargo, aún podría ser descubierto y utilizado, y cualquier servicio que escuchara en IPv6 podría ser probado o atacado.

En resumen, si un atacante conoce o descubre su (s) dirección (es) IPv6 y su máquina está ejecutando servicios que escuchan en IPv6, las vulnerabilidades o configuraciones erróneas en esos servicios podrían ser explotadas para comprometer su host.

Para protegerse contra esta amenaza, puede desactivar IPv6 completamente en el kernel o configurar reglas de firewall. Al igual que con iptables , use ip6tables para IPv6. Muchas de sus reglas existentes pueden transferirse con una modificación mínima. Por supuesto, si elige exponer los servicios a través de su firewall, esos servicios aún podrían ser atacados.

    
respondido por el multithr3at3d 12.01.2018 - 03:58
fuente
4

Aparte de IPv6, ha preguntado: "Tengo un protocolo no utilizado habilitado y activo en mi sistema sin ningún control técnico a su alrededor. ¿La situación supone un riesgo para la seguridad? La respuesta es muy breve: sí.

¿Es un "agujero gigante"? No, sino un agujero. ¿Es un riesgo? Tal vez. Pero el hecho de que no pueda cuantificar el riesgo significa que debe desactivarlo hasta que pueda hacerlo.

¿Habrá posibles problemas de usabilidad inesperados? Tal vez. Pero eso no es una pregunta de seguridad.

    
respondido por el schroeder 11.01.2018 - 14:09
fuente

Lea otras preguntas en las etiquetas