Безопасность протокола IPv6
Все операционные системы Apple поддерживают протокол IPv6, реализуя ряд механизмов для защиты конфиденциальности пользователей и обеспечения стабильной работы сетевого стека. При использовании автоматической настройки адресов без сохранения состояния (SLAAC) IPv6-адреса всех интерфейсов генерируются таким способом, который помогает препятствовать отслеживанию устройств в сетях и обеспечивать удобство для пользователей путем обеспечения стабильности адресов при отсутствии изменений в сети. В основе алгоритма генерирования адресов лежат криптографически сгенерированные адреса, как указано в требованиях стандарта RFC 3972, дополненных модификаторами для каждого отдельного интерфейса, что гарантирует создание разных адресов для разных интерфейсов в одной и той же сети. Кроме того, создаются временные адреса с предпочтительным сроком действия 24 часа, и они по умолчанию используются для любых новых подключений. В соответствии с функцией частных адресов Wi-Fi, реализованной в iOS 14, iPadOS 14 и watchOS 7, для каждой сети Wi-Fi, к которой подключается устройство, создается уникальный локальный адрес канала. SSID сети используется в качестве дополнительного элемента для создания адреса, аналогично параметру Network_ID в соответствии со стандартом RFC 7217. Такой подход применяется в iOS 14, iPadOS 14 и watchOS 7.
Для защиты от атак с использованием заголовков расширений и фрагментации IPv6 на устройствах Apple реализованы средства защиты в соответствии с требованиями стандартов RFC 6980, RFC 7112 и RFC 8021. Наряду с другими мерами, это позволяет предотвратить атаки, в которых заголовок верхнего уровня содержится только во втором фрагменте (как показано ниже), что, в свою очередь, может привести к нарушениям в работе средств безопасности, таких как фильтры пакетов без сохранения состояния.
Кроме того, чтобы помочь обеспечить надежную работу стека IPv6 операционных систем Apple, устройства Apple накладывают различные ограничения в отношении структур данных IPv6, таких как количество префиксов на интерфейс.