《NetBSD指南-23.9.4.安全考虑》

NetBSD用户指南中文版、NetBSD pkgsrc指南中文版...

版主: lionux

主题已锁定
头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

《NetBSD指南-23.9.4.安全考虑》

帖子 leo » 2010-03-08 0:31

相对于 “配置隧道” 设置, 通常你不能设置数据包过滤器以阻止那些来自未经认证机器的6to4数据, 因为这恰恰是需要6to4工作的原因和必要条件. 因此, 恶意用户可以发送无效/危险的IPv6数据包负载, 如果你没有在边界路由器上过滤, 带有下列特征的数据包将不能像有效的6to4数据包那样被接受, 而一些防火墙看起来正好能对付它们:
  • 未经指定的IPv4 源/目标 地址: 0.0.0.0/8
  • 外部(v4)回路的 源/目标 地址: 127.0.0.0/8
  • 源/目标 地址中的IPv4多播地址: 224.0.0.0/4
  • 限制的广播: 255.0.0.0/8
  • 将子网广播地址做为 源/目标: 根据你的IPv4设定
NetBSD的 stf(4) 用户手册中收录了一些常见的配置错误,这些错误会被KAME堆栈默认阻止,另外手册中还有对防火墙更深入的建议, 但是记住因为对这些防火墙的依赖, 6to4并非完全安全.不过话说回来, 如果伪造的6to4数据包让你头疼, 你可以使用IPsec认证来确认IPv6数据包未被改动

主题已锁定

在线用户

正浏览此版面之用户: 没有注册用户 和 0 访客