Announcement

**luancb** · 12-01-2010, 09:01 AM

Hi, host có thể hiểu như 1 PC.

**nvt8x** · 12-01-2010, 10:57 AM

Vậy còn các vấn đề kia thi` sao ạ? anh giải thích cho e với.

**dangquangminh** · 2025-04-15T02:47:37

Thực tiễn Tốt nhất cho IPv6
Việc triển khai các biện pháp bảo mật ngay từ đầu của quá trình triển khai sẽ cải thiện tình trạng bảo mật ban đầu thay vì chờ đến khi xảy ra một cuộc tấn công. Các thực tiễn tốt nhất cho IPv6 bao gồm như sau:
■ Lọc các địa chỉ giả mạo: Loại bỏ, tại các router rìa mạng của bạn, bất kỳ địa chỉ nào không bao giờ được coi là địa chỉ nguồn hoặc đích hợp lệ. Những địa chỉ này còn được gọi là “địa chỉ bogon”.
■ Lọc các địa chỉ đa hướng multicast không cục bộ: Nếu bạn không chạy các ứng dụng đa hướng, bạn không bao giờ cần chuyển tiếp đa hướng ra ngoài một VLAN cụ thể. Đa hướng cục bộ thường được IPv6 sử dụng (ví dụ, trong các bản cập nhật định tuyến và khám phá hàng xóm).
■ Lọc lưu lượng ICMPv6 không cần thiết trên mạng cụ thể của bạn: Khám phá hàng xóm thông thường (NDP) sử dụng ICMPv6 làm giao thức cốt lõi. Đơn vị truyền tối đa (MTU) của một đường dẫn cũng được xác định bằng cách sử dụng ICMP. Ngoài chức năng thông thường, bạn nên lọc các phần không sử dụng của ICMP để kẻ tấn công không thể lợi dụng nó chống lại mạng của bạn.
■ Loại bỏ các gói tin có Tiêu đề Định tuyến loại 0: Tiêu đề Định tuyến 0, còn gọi là RH0, có thể chứa nhiều điểm nhảy trung gian, và nếu được tuân theo, kẻ tấn công có thể kiểm soát đường đi của một gói tin qua mạng. Kẻ tấn công cũng có thể sử dụng điều này để tạo ra một cuộc tấn công khuếch đại, khiến gói tin lặp vòng cho đến khi Thời gian Sống (TTL) của gói tin hết hạn. Các bộ định tuyến Cisco, theo mặc định, loại bỏ các gói tin có loại tiêu đề này.
■ Sử dụng đường hầm thủ công thay vì đường hầm tự động: Nếu sử dụng đường hầm, không sử dụng các cơ chế đường hầm tự động như 6to4 tự động, vì bạn không thể kiểm soát tất cả chúng (chúng là động). Với đường hầm thủ công, tránh để các đường hầm đi qua ranh giới mạng của bạn, vì bạn sẽ không có kiểm soát chặt chẽ đối với nội dung của các gói tin được truyền qua đường hầm.
■ Bảo vệ chống lại các thiết bị IPv6 giả mạo: Có một số cơ chế trong IPv6 để giúp bảo vệ chống lại việc giả mạo hàng xóm IPv6. Các cơ chế này bao gồm:
■ Bảng liên kết bảo mật đầu tiên IPv6: Bảng này được sử dụng để xác minh rằng các hàng xóm IPv6 là hợp lệ.
■ Theo dõi thiết bị IPv6: Tính năng này cung cấp khả năng cho bảng hàng xóm IPv6 phản ánh ngay lập tức các thay đổi khi một máy chủ IPv6 trở nên không hoạt động.
■ Hỗ trợ danh sách kiểm soát truy cập dựa trên cổng IPv6: Tương tự như danh sách kiểm soát truy cập cổng IPv4 (PACL), tính năng này cung cấp kiểm soát truy cập trên các cổng công tắc Tầng 2 cho lưu lượng IPv6.
■ Bảo vệ RA IPv6: Tính năng này cung cấp khả năng chặn hoặc từ chối các thông điệp RA giả mạo đến tại nền tảng công tắc mạng.
■ Kiểm tra ND IPv6: Kiểm tra ND IPv6 phân tích các thông điệp khám phá hàng xóm để xây dựng cơ sở dữ liệu bảng liên kết đáng tin cậy, và các thông điệp khám phá hàng xóm IPv6 không phù hợp sẽ bị loại bỏ.
■ Khám phá Router láng giềng An toàn trong IPv6 (SeND): Mặc dù hỗ trợ nền tảng cho SeND vẫn còn hạn chế, tính năng này định nghĩa một tập hợp các tùy chọn ND mới, cùng với hai thông điệp ND mới, Yêu cầu Đường dẫn Chứng nhận (CPS) và Trả lời Đường dẫn Chứng nhận (CPA), để giúp giảm thiểu tác động của việc giả mạo và chuyển hướng ND.

Announcement

Interface, node

Interface, node

Comment

Comment

Comment