IPv6: Почему IPv4-сопоставленные адреса представляют угрозу безопасности?

Question

В OpenBSD manual состоянии:

По соображениям безопасности, OpenBSD не трафик IPv4 маршрута к розетке AF_INET6, и не поддерживает IPv4 mapped addresses, где виден IPv4 трафик, как будто это происходит от адреса IPv6, как :: FFFF : 10.1.1.1. Там, где необходимо принимать как трафик IPv4, так и IPv6, прослушивайте два сокета.

Однако никаких объяснений относительно этих «соображений безопасности» нет. Кто они такие? Я не могу думать о каких-либо проблемах безопасности, связанных с этим сопоставлением.

Answer 1

Насколько я знаю, основная причина заключается в том, чтобы отдельные стеки IPv4 и IPv6 были разделены. Это хаки, необходимые для обработки пакетов, входящих в один стек, но которые обрабатываются другими, которые вызывают риски безопасности.

Answer 2

Я не знаю конкретно, какую мотивацию использовал OpenBSD, но я знаю, по крайней мере, одну проблему, которая может быть проблемой безопасности, а именно ACL и, в частности, черные списки.

Обдумайте, что у вас есть входящее соединение из 10.1.1.1. Этот адрес занесен в черный список в ваш ACL, и вы откажетесь от этого соединения. Но если вы используете сопоставленный адрес, вместо этого он будет выглядеть как: ffff: 10.1.1.1. Ваш черный список, возможно, не сможет его поймать и может пропустить соединение.

Это можно решить с помощью логики приложения, и поскольку использование одного сокета может упростить код, я лично считаю, что решение OpenBSD является неудачным. По умолчанию v4 можно отключить, но разрешить его включить через setsockopt.

У них могло быть больше проблем, хотя я не знаю.