2015-08-17 106 views
5

OpenBSD manual狀態:IPv6:爲什麼IPv4映射地址存在安全風險?

出於安全原因,OpenBSD的不路由的IPv4流量的AF_INET6插座,並且不支持IPv4 mapped addresses,在IPv4流量被看作是如果它來自像:: FFFF IPv6地址:10.1.1.1。在需要接受IPv4和IPv6流量的情況下,在兩個套接字上偵聽。

但是,沒有關於這些「安全原因」的解釋。他們是什麼?我想不出與該映射有關的任何安全問題。

回答

0

據我所知,主要原因是保持IPv4和IPv6堆棧分開。這是處理在一個堆棧中進入但是由另一個堆棧處理的數據包所必需的黑客,這會導致安全風險。

1

我不清楚OpenBSD使用什麼動機,但我知道至少有一個問題可能是安全問題,即ACL和特定的黑名單。

認爲您有來自10.1.1.1的傳入連接。該地址在您的ACL中被列入黑名單,因此您拒絕連接。但是,如果您使用的是映射地址,則它將來自:: ffff:10.1.1.1。你的黑名單可能無法捕捉到這一點,並可能讓連接通過。

這可以通過應用程序邏輯來解決,由於使用單個套接字可能會簡化代碼,我個人認爲OpenBSD的決定是不幸的。可以將v4mapped默認爲關閉,但允許通過setsockopt啓用它。

他們可能有更多的擔憂,雖然我不知道。

+0

當然,IPv4映射地址不會在互聯網上路由,所以黑名單概率很低。 –