Aller au contenu principal

4. Operations (Opérations)

4.1. Ingress Filtering (Filtrage en entrée)

Il est prévisible qu'il faudra un certain temps avant que tous les nœuds IPv6 soient mis à jour pour supprimer le support de RH0. Certaines des utilisations de RH0 décrites dans [CanSecWest07] peuvent être atténuées en utilisant le filtrage en entrée, comme recommandé dans [RFC2827] et [RFC3704].

Une politique de sécurité de site destinée à protéger contre les attaques utilisant RH0 DEVRAIT inclure la mise en œuvre du filtrage en entrée à la frontière du site.

4.2. Firewall Policy (Politique de pare-feu)

Bloquer tous les paquets IPv6 qui portent des en-têtes de routage (plutôt que de bloquer spécifiquement le Type 0 et de permettre d'autres types) a des implications très graves pour le développement futur d'IPv6. Si même un petit pourcentage de pare-feu déployés bloque par défaut d'autres types d'en-têtes de routage, il deviendra impossible en pratique d'étendre les en-têtes de routage IPv6. Par exemple, Mobile IPv6 [RFC3775] s'appuie sur un en-tête de routage de Type 2; le blocage généralisé et sans discernement des en-têtes de routage rendra Mobile IPv6 non déployable.

La politique de pare-feu destinée à protéger contre les paquets contenant RH0 NE DOIT PAS simplement filtrer tout le trafic avec un en-tête de routage; il doit être possible de désactiver le transfert du trafic de Type 0 sans bloquer d'autres types d'en-têtes de routage. De plus, la configuration par défaut DOIT permettre le transfert du trafic utilisant un en-tête de routage autre que 0.

Dernière mise à jour le