4.5. Sicherheitserwägungen

Es wird als Best Practice angesehen, offensichtlich bösartigen Verkehr zu filtern (z. B. gefälschte Pakete, "Martian"-Adressen, etc.). Daher sollte der IPv6-CE-Router grundlegende zustandslose Egress- und Ingress-Filter unterstützen. Es wird auch erwartet, dass der CE-Router Mechanismen zum Filtern von Verkehr bietet, der in das Kundennetzwerk eintritt; die Methode, mit der Hersteller konfigurierbare Paketfilterung implementieren, liegt jedoch außerhalb des Geltungsbereichs dieses Dokuments.

Sicherheitsanforderungen

S-1: Der IPv6-CE-Router SOLLTE [RFC6092] unterstützen. Insbesondere SOLLTE der IPv6-CE-Router Funktionalität unterstützen, die ausreichend ist, um den Satz von Empfehlungen in [RFC6092], Abschnitt 4, zu implementieren. Dieses Dokument nimmt keine Position dazu ein, ob eine solche Funktionalität standardmäßig aktiviert ist oder zu Mechanismen, durch die Benutzer sie konfigurieren würden.

S-2: Der IPv6-CE-Router SOLLTE Ingress-Filterung in Übereinstimmung mit BCP 38 [RFC2827] unterstützen. Beachten Sie, dass diese Anforderung von einem MUSS aus RFC 6204 herabgestuft wurde, aufgrund der Schwierigkeit der Implementierung im CE-Router und der Redundanz der Funktion mit der Ingress-Filterung von Upstream-Routern.

S-3: Wenn die IPv6-CE-Router-Firewall konfiguriert ist, um eingehende getunnelte Daten zu filtern, SOLLTE die Firewall die Fähigkeit bieten, entkapselete Pakete aus einem Tunnel zu filtern.