Güvenlik Duvarınızda IPv6 açık mı?

Eğer birçok insan gibi, IPv6 deneylerine başladıysanız; ilk olarak cihazlarınızda IPv6 desteğini açarak ve ayarlarını yaparak kullanmaya başlarsınız ve cihazlarınızın ayarlarını tamamladıktan sonra güvenlik duvarınız aklınıza gelir. Güvenlik duvarınızı güncelleyerek burada da IPv6 testleri yapacaksınızdır. Şanssız birisiyseniz bu konudaki süprizlere hazırlıklı olsun.

Debian GNU/Linux standart kullanıcıları tarafında kullanılan güvenlik duvarı aracı iptables ‘dir. Bu araç güvenlik duvarınıza kurallar eklemenize, listelemenize ve güncellemenize izin verir ve birçok online rehberde ve www.debian-administration.org sitesinde belgelendirilmiştir. (Buradan yeterli bilgiye ulaşabilirsiniz.) 

Tek bir güvenilir IP adresi dışında (1.2.3.4) dışında sunucunuza doğru gelen 22. port bağlantılarına izin verilmemelidir.

# allow me to connect from my static IP
iptables -A INPUT -p tcp --dport 22 --src 1.2.3.4 -j ACCEPT

# drop the rest of the world
iptables -A INPUT -p tcp --dport 22 -j DROP

Makinenize gelen 22.port bağlantılarını durdurmada yeterli olacağını düşünüyorsunuz, fakat IPv6 ya erişilebilir olduğunda aslında erişimin herkese açık olduğunun farkına varacaksınız. İşte o zaman şans yanınızda olsun.   

telnet -6 www.example.org 22

Trying 2002:5f10:fff::1...
Connected to www.example.org
Escape character is '^]'.
SSH-2.0-OpenSSH_4.3p2 Debian-9etch3

Burada biz 22. port bağlantısına izin verdiğimizi görüyoruz, halbuki bizim istediğimiz bu değildi. Neden? Çünkü iptables sadece IPv4 ile ilgilenmektedir. 

Ayarladığımız kuralların IPv6 ‘da da kullanabilmek için ip6tables kullanmamız gerekmektedir:

ip6tables -A INPUT -p tcp --dport 22 -j DROP

Şimdi güvende olabilirsiniz, ve port 22 ye gelen IPv6 bağlantı istekleri reddedilecektir. ip6tables aynı iptables gibi çalışmaktadır ve yeni birşey öğrenmenize gerek yoktur. 

Eğer sizin hali hazırda bulunan bir basit güvenlik duvarı scriptiniz var ise bunu mevcut sisteme uyarlamak için çok fazla çalışmanıza ve güncelleme yapmanıza gerek yoktur, küçük birkaç dğişiklik ve güncelleme ile scriptiniz IPv6 ya hazır hale gelecektir. Eğer kullandığınız bir güvenlik duvarı paketi var ise, örneğin shorewall gibi, bunun için bir uyarlama yapmanıza gerek yoktur, fakat kesinlikle test etmeli ve çalıştığından emin olmalısınız.