IPv6: Warum sind IPv4-gemappte Adressen ein Sicherheitsrisiko?

Question

Die OpenBSD manual Staaten:

Aus Sicherheitsgründen haben OpenBSD IPv4 auf einen AF_INET6-Socket nicht leitet den Verkehr, und nicht IPv4 mapped addresses nicht unterstützt, wo IPv4-Datenverkehr wie zu sehen ist, wenn es von einer IPv6-Adresse wie :: ffff kommt : 10.1.1.1. Wenn sowohl IPv4- als auch IPv6-Datenverkehr akzeptiert werden müssen, hören Sie auf zwei Sockets zu.

Es gibt jedoch keine Erklärung zu diesen "Sicherheitsgründen". Was sind Sie? Ich kann mir keine Sicherheitsprobleme im Zusammenhang mit dieser Zuordnung vorstellen.

Answer 1

Soweit ich weiß ist der Hauptgrund, die IPv4 und IPv6 Stacks getrennt zu halten. Es sind die Hacks, die notwendig sind, um Pakete zu behandeln, die auf einem Stapel ankommen, aber von den anderen gehandhabt werden, die die Sicherheitsrisiken verursachen.

Answer 2

Ich weiß nicht genau, welche Motivation OpenBSD verwendet, aber ich kenne mindestens ein Problem, das ein Sicherheitsproblem sein kann, nämlich ACLs und speziell schwarze Listen.

Bedenken Sie, dass Sie eine eingehende Verbindung von 10.1.1.1 haben. Diese Adresse ist in Ihrer ACL auf der schwarzen Liste und Sie verweigern somit die Verbindung. Wenn Sie jedoch eine zugeordnete Adresse verwenden, scheint sie stattdessen von :: ffff: 10.1.1.1 zu stammen. Ihre Blacklist ist möglicherweise nicht in der Lage, dies zu erfassen und könnte die Verbindung durchlassen.

Dies kann mit Anwendungslogik gelöst werden, und da die Verwendung eines einzelnen Sockets den Code vereinfachen könnte, glaube ich persönlich, dass die Entscheidung von OpenBSD unglücklich ist. Es ist möglich, v4mapped auf off zu setzen, aber es über setsockopt zu aktivieren.

Sie hätten vielleicht mehr Bedenken gehabt, die mir nicht bekannt sind.