4.5. Security Considerations (Considérations de sécurité)

Il est considéré comme une bonne pratique de filtrer le trafic manifestement malveillant (par exemple, les paquets usurpés, les adresses « Martiennes », etc.). Ainsi, le routeur CE IPv6 devrait prendre en charge des filtres de sortie et d'entrée sans état de base. Le routeur CE devrait également offrir des mécanismes pour filtrer le trafic entrant dans le réseau client ; cependant, la méthode par laquelle les fournisseurs implémentent le filtrage de paquets configurable est hors du champ d'application de ce document.

Exigences de sécurité

S-1 : Le routeur CE IPv6 DEVRAIT prendre en charge [RFC6092]. En particulier, le routeur CE IPv6 DEVRAIT prendre en charge des fonctionnalités suffisantes pour implémenter l'ensemble des recommandations de la section 4 de [RFC6092]. Ce document ne prend pas position sur le fait que cette fonctionnalité soit activée par défaut ou sur les mécanismes par lesquels les utilisateurs la configureraient.

S-2 : Le routeur CE IPv6 DEVRAIT prendre en charge le filtrage d'entrée conformément au BCP 38 [RFC2827]. Notez que cette exigence a été rétrogradée d'un DOIT du RFC 6204 en raison de la difficulté d'implémentation dans le routeur CE et de la redondance de cette fonctionnalité avec le filtrage d'entrée du routeur en amont.

S-3 : Si le pare-feu du routeur CE IPv6 est configuré pour filtrer les données tunnelisées entrantes, le pare-feu DEVRAIT fournir la capacité de filtrer les paquets décapsulés provenant d'un tunnel.