IPv6 Güvenlik

 

ACL uygulamaları :

Routerların uygulanan ACL işleme konusu, extension header’ların varlığına göre farklı durumlar ortaya çıkartabilir. Zira uygulanan ACL’in durumuna göre (L4 bilgisi içerip içermediği), router’ın tüm eh işleyip (sadece next-header kısmına bakarak), L4 kadar ilerlemesi gerekir. Eğer  Encapsulating Security Payload EH kullanılmış ise, onu takip eden kısım şifrelenmiş olacağı için üst seviye bilgiye erişemiyebilir. EH yok ise normal IPv6 pakedi şeklide işliyecektir. Ayrıca diğer önemli konu yapılan iletim işleminin hardware veya software üzerinde mi olduğudur.

Cisco IPv6 ACL’lerinde, IPv6’da IPv4’deki ARP işlevini gören Neighbor Discovery, ND çalışmasının, ACL interface’e uygulanır iken bozulmaması için en sonunda IPv4 ACL’de otomatik olarak bulunan

deny ip any any

benzer olarak

permit icmp any any nd-na

permit icmp any any nd-ns

deny ipv6 any any

yer almaktadır.

IPv6 Extension Headers Review and Considerations

Üst seviye protokol filtrelemesi :

Bu işlem IPv4 göre biraz daha zor olabilir. Zira EH varlığına göre, her bir EH tek tek işlenmesi gerekir. Ayrıca IPv4 benzer şekilde fragment parçalarından protokolü tespit etmek mümkün olmıyabilir.

EH filtreleme :

control plane veya forwarding path’de filtrelenmesi gereken EH’lar farklılık gösterebilir.

Control Plane iletilmesi gereken EH genelde hop-by-hop eh’dır. unknown eh’lar filtrelenmelidir.

routing option eh : artık kullanılmamaktadır. Filtrelenmelidir.

Tunnel Filtreleme :

teredo tunneleri bloklanmalı.

IPv4 in IPv6 adresleri bloklanmalı.

ICPMv6 Filtreleme :

RFC 4890

SEND : Secure Neighbor Discovery

Leave a Reply

Your email address will not be published.