IPv6 保安
所有 Apple 作業系統皆支援 IPv6 並執行數種機制,以保護用户的私隱與網絡疊放的穩定性。使用「無狀態地址自動設定」(SLAAC)時,所有介面的 IPv6 地址會以能協助防止跨網絡追蹤裝置的方式產生,同時藉由確保網絡沒有變動時的地址穩定性來提供絕佳用户體驗。地址產生演算法是根據 RFC 3972 的加密編譯產生地址,並藉由介面專屬的修飾元增強,以保證即使相同網絡上有不同介面,最終將具有不同的地址。此外,所建立的臨時地址其偏好存留期為 24 小時,在預設情況下,這些臨時地址會用於任何新的連線。配合 iOS 14、iPadOS 14 和 watchOS 7 推出的私人 Wi-Fi 地址功能,系統會為裝置加入的每個 Wi-Fi 網絡產生一個不重複的連結本機地址。網絡的 SSID 會合併作為產生地址的額外元素,類似 RFC 7217 的 Network_ID 參數。此方式會用於 iOS 14、iPadOS 14 和 watchOS 7。
為了防止 IPv6 延伸標頭和分段相關的攻擊,Apple 裝置會實行 RFC 6980、RFC 7112 和 RFC 8021 中指定的保護措施。配合其他措施,此等保護措施可阻止由於上層標頭僅可在第二個片段中找到(如下所示),因而為例如無狀態封包過濾器等保安控制帶來不明確狀況的特定攻擊。
此外,為了協助確保 Apple 作業系統的 IPv6 疊放的可靠性,Apple 裝置對與 IPv6 相關的資料結構強制執行了各種限制,例如各介面的前置碼數字。
感謝您提供意見。