web-dev-qa-db-ja.com

IPv6-着信ICMPエコー要求を許可する

そのため、最近、LIRから/ 48プレフィックスを取得し、ラボで小規模な展開を開始しました。

奇妙なことに私を驚かせたのは、 http://ipv6-test.com/ のようなサイトが、着信ICMPエコー要求を許可するように要求していることです。 ICMPv6の発信を許可し、着信を許可する理由を理解していますか?単なるpingであっても?

したがって、私の質問は次のとおりです。ICMPを利用したDDoS攻撃の可能性を除いて、着信ICMPエコー要求を許可することには欠点がありますか?

RFC4890( https://www.ietf.org/rfc/rfc4890.txt )を読みましたが、明確な回答が見つかりませんでした。

A.5。 ICMPv6エコー要求とエコー応答

それを示唆している

適切に設計されたIPv6ネットワーク(セクション3.2を参照)に対するスキャン攻撃による重大なリスクがあるとは考えられていないため、デフォルトで接続チェックを許可する必要があります。

RFCがほぼ10年前であることを考えると、この点はまだ有効ですか?また、RFCは発信方向と着信方向を区別しません。

V4の推奨事項はゲートウェイでICMPをブロックすることであると常に感じていましたが、v6はICMPに大きく依存しています。

それで、何か提案はありますか?

4
lightxx

この最初のビットはあなたの質問に対する直接の答えではありません。 ICMPv6の重要性を認識していない他の人のためにここに含めます。

IPv6が実際に通過するには、特定のICMPメッセージタイプが必要です。最も重要なものは、Packet-Too-BigとParameter-Problemです。それらをブロックすると、接続の問題が発生します。

また、ARPに相当するIPv6は、ICMPパケットも使用するネイバーディスカバリーです。ステートレス自動構成はネイバー探索の一部であるため、ICMPも必要です。

IPv4では、すべての着信ICMPをブロックする必要があるという誤解があり、それで問題を回避できます。 IPv6では、少なくとも一部のICMPを許可する必要があります。 https://tools.ietf.org/html/rfc489 を見てください。プロトコルを壊すことなくICMPをフィルタリングする方法についての非常に良いアドバイスが含まれています。

質問への回答着信ICMPエコー要求のブロックは問題ありません。許可することでデバッグがはるかに簡単になるので、私は個人的にはしませんが、許可しない場合は必要ありません。それらを許可する場合に実行する主なリスクは、誰かが安定した(非一時的/プライバシー)アドレスを見つけた場合、あなたのラップトップは、それがいつオンになっているのかを確認するためにpingを続けます。これはプライバシーリスクと見なされる可能性があります。ただし、発信接続では一時的なプライバシーアドレスを使用するため、最初にそのようなアドレスを見つける必要があります。

5
Sander Steffann